![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-03-11T11:08:28+09:00","default:k1rou","k1rou") #author("2023-03-11T11:09:30+09:00","default:k1rou","k1rou") *HSTS [#f5a633b9] **名称 [#e256dc02] -HTTP Strict Transport Security **概要 [#nf3da73c] -WebサーバからWebブラウザに対して、次回以降は[[HTTPS]]でアクセスするように通知する仕組み -HTTPヘッダ(応答)で通知され、[[HTTPS]]接続が求められる有効期限が指定される -同一ドメインでの接続がすべて[[HTTPS]]になる。 -[[中間者攻撃]]対策 -RFC6797~ https://tools.ietf.org/html/rfc6797 *使い方 [#i90fcc5a] **HTTPレスポンスヘッダの指定 [#t2f60de2] -Strict-Transport-Security Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains *問題点 [#l6148baf] -初回の接続が[[HTTP]]の場合は、HSTSが有効にならずに通信が盗聴される可能性がある。 --[[HTTP]]での接続に対しては、強制的に[[HTTPS]]にリダイレクトさせる。 *HSTS Preloading [#h787e5ba] -HSTSプリロード -HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能 -Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。 -HSTS対応しているWebサーバへの初回の接続を強制的に[[HTTPS]]にするWebブラウザの機能 -Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初から[[HTTPS]]で接続する。 -Preloaded HSTS(Chrome) *関連用語 [#ge588971] -[[HTTPS]] -[[SSL]] -[[中間者攻撃]]
