HSTS
2023-03-11 (土) 11:09:30
HSTS †
名称 †
- HTTP Strict Transport Security
概要 †
- WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
- HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
- 同一ドメインでの接続がすべてHTTPSになる。
- 中間者攻撃対策
使い方 †
HTTPレスポンスヘッダの指定 †
- Strict-Transport-Security
Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
問題点 †
HSTS Preloading †
- HSTSプリロード
- HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
- Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。
- Preloaded HSTS(Chrome)