HTTP Strict Transport Security
表示
この記事は英語版の対応するページを翻訳することにより充実させることができます。(2024年12月) 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
HTTP |
---|
主要項目 |
リクエストメソッド |
ヘッダーフィールド |
ステータスコード |
認証方式 |
セキュリティホール |
HTTP Strict Transport Security (略称 HSTS)とは、WebサーバーがWebブラウザに対して、現在接続しているドメイン(サブドメインを含む場合もある)に対するアクセスにおいて、次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構である。RFC 6797 で規定されている。
概要
[編集]WebサーバーがWebブラウザに対して、セキュアなHTTPSのみでサービスを提供したい場合、ユーザーの利便性といった観点から、HTTPで接続した際にHTTPSのURIにリダイレクトする場合がある。その際に、Webサーバーからのレスポンスにリダイレクトする指示を入れることになるが、HTTPは改竄検知機能を持たないため、攻撃者がこれを悪意のあるサイトにリダイレクトする指示に書き換えたり、HTTPSの内容をHTTPで中継(SSL Stripping)したとしても、Webブラウザはそれを知ることができず、中間者攻撃を許してしまう。
HSTSではユーザーがWebブラウザにスキームがhttpであるURIを入力するなどしてHTTPで接続しようとした時に、予めWebサーバーがHSTSを有効にするよう指示してきたドメインの場合、Webブラウザが強制的にHTTPSでの接続に置き換えてアクセスすることで、この問題を解決する。
動作
[編集]セキュリティ上の考察
[編集]- 最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱である。[2]この問題に対する解決策として、HSTS Preloadingが存在する。
脚注
[編集]- ^ Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.3. Ramifications of HSTS Policy Establishment Only over Error-Free Secure Transport”. RFC 6797. IETF. 29 Jun 2013閲覧。
- ^ Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.6. Bootstrap MITM Vulnerability”. RFC 6797. IETF. 29 Jun 2013閲覧。
関連項目
[編集]外部リンク
[編集]- RFC 6797 - HTTP Strict Transport Security
- HTTP Strict Transport Security - Security | MDN