HSTS のバックアップ(No.1)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• HSTS へ行く。
  • 1 (2021-11-14 (日) 12:02:06)
  • 2 (2022-09-04 (日) 22:00:58)
  • 3 (2023-02-13 (月) 16:41:37)

HSTS †

• HTTP Strict Transport Security

HSTS とは †

• WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
• HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
• 同一ドメインでの接続がすべてHTTPSになる。
• 中間者攻撃対策

• RFC6797
  https://tools.ietf.org/html/rfc6797

使い方 †

HTTPヘッダ(応答) †

• Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains

問題点 †

• 初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
  • HTTPでの接続に対しては、強制的にHTTPSにリダイレクトさせる。

HSTS Preloading †

• HSTSプリロード
• HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
• Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。

• Preloaded HSTS（Chrome）

関連用語 †

• HTTPS
• SSL
• 中間者攻撃