- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2022-09-04T22:00:58+09:00","default:k1rou","k1rou")
#author("2023-02-13T16:41:37+09:00","default:k1rou","k1rou")
*HSTS [#f5a633b9]
**名称 [#e256dc02]
-HTTP Strict Transport Security
**概要 [#nf3da73c]
-WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
-HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
-同一ドメインでの接続がすべてHTTPSになる。
-[[中間者攻撃]]対策
-RFC6797~
https://tools.ietf.org/html/rfc6797
*使い方 [#i90fcc5a]
**HTTPヘッダ(応答) [#t2f60de2]
-Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
**HTTPレスポンスヘッダの指定 [#t2f60de2]
-Strict-Transport-Security
Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
*問題点 [#l6148baf]
-初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
--[[HTTP]]での接続に対しては、強制的に[[HTTPS]]にリダイレクトさせる。
*HSTS Preloading [#h787e5ba]
-HSTSプリロード
-HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
-Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。
-Preloaded HSTS(Chrome)
*関連用語 [#ge588971]
-[[HTTPS]]
-[[SSL]]
-[[中間者攻撃]]
バックアップ