創屋ぷれす

HTTP Strict Transport Security (HSTS)

■ 概要
WEBブラウザからWEBサイトにHTTPプロトコルでアクセスした際に、
WEBサイト側からWEBブラウザ側にHTTPSプロトコルで接続するように伝達し、
WEBブラウザがHTTPSプロトコルで接続する機能。
クライアント側、サーバー側それぞれ対応が必要。
RFC 6797 で仕様が規定されている。

■ クライアント側
PC用の主要ブラウザは2015年にIEが実装した事で、すべて対応済み。
モバイル用はまだ未対応のものもある。

■ サーバー側
Apache, NGINX などのWEBサーバーで対応可能。

■ 問題点
ブラウザからサーバー側へのHTTPプロトコルによる初回アクセス時には、
まだHTTPSアクセスではないため、その時点で攻撃される可能性がある。

■ プリロード
事前にプリロードHSTSのリストに、WEBサイトを登録しておくことで、
プリロードに対応しているブラウザがそのWEBサイトにアクセスしようとした際に、
最初からHTTPSプロトコルを使用する仕組み。
HSTSの初回アクセス時の問題点に対応するもの。

Comments are closed.