ネットワークセキュリティ
HTTP Strict Transport Security(HSTS)
別称: Strict-Transport-Security, HSTS ヘッダー
定義
HTTP 応答ヘッダーで配信される Web セキュリティポリシーで、宣言した期間中ブラウザに対してそのドメインへ HTTPS でのみアクセスするよう指示する。
HSTS は RFC 6797 で定義されており、応答ヘッダー Strict-Transport-Security によって伝えられます。対応ブラウザはヘッダーを受信するとポリシーを記憶し、そのホスト(必要に応じてサブドメインも)に対する以後のリクエストを自動的に HTTPS に切り替えます。TLS ハンドシェイクや証明書検証に失敗した場合は接続を拒否します。これにより、初回リクエストでの SSL ストリッピングや Cookie 注入攻撃を無効化できます。最大限の効果を得るには長い max-age、includeSubDomains、preload を組み合わせ、さらに HSTS プリロードリストに登録して初回訪問も保護することが推奨されます。
例
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 銀行が自社のトップレベルドメインを Chromium の HSTS プリロードリストに申請する。
関連用語
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL ストリッピング
被害者の HTTPS 接続を密かに平文の HTTP にダウングレードさせ、攻撃者が通信内容を読み取り改ざんできるようにする中間者攻撃。
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。