■ 概要
WEBブラウザからWEBサイトにHTTPプロトコルでアクセスした際に、
WEBサイト側からWEBブラウザ側にHTTPSプロトコルで接続するように伝達し、
WEBブラウザがHTTPSプロトコルで接続する機能。
クライアント側、サーバー側それぞれ対応が必要。
RFC 6797 で仕様が規定されている。
■ クライアント側
PC用の主要ブラウザは2015年にIEが実装した事で、すべて対応済み。
モバイル用はまだ未対応のものもある。
■ サーバー側
Apache, NGINX などのWEBサーバーで対応可能。
■ 問題点
ブラウザからサーバー側へのHTTPプロトコルによる初回アクセス時には、
まだHTTPSアクセスではないため、その時点で攻撃される可能性がある。
■ プリロード
事前にプリロードHSTSのリストに、WEBサイトを登録しておくことで、
プリロードに対応しているブラウザがそのWEBサイトにアクセスしようとした際に、
最初からHTTPSプロトコルを使用する仕組み。
HSTSの初回アクセス時の問題点に対応するもの。