HTTP Strict Transport Security(HSTS)
HTTP Strict Transport Security(HSTS) とは何ですか?
HTTP Strict Transport Security(HSTS)HTTP 応答ヘッダーで配信される Web セキュリティポリシーで、宣言した期間中ブラウザに対してそのドメインへ HTTPS でのみアクセスするよう指示する。
HSTS は RFC 6797 で定義されており、応答ヘッダー Strict-Transport-Security によって伝えられます。対応ブラウザはヘッダーを受信するとポリシーを記憶し、そのホスト(必要に応じてサブドメインも)に対する以後のリクエストを自動的に HTTPS に切り替えます。TLS ハンドシェイクや証明書検証に失敗した場合は接続を拒否します。これにより、初回リクエストでの SSL ストリッピングや Cookie 注入攻撃を無効化できます。最大限の効果を得るには長い max-age、includeSubDomains、preload を組み合わせ、さらに HSTS プリロードリストに登録して初回訪問も保護することが推奨されます。
● 例
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
銀行が自社のトップレベルドメインを Chromium の HSTS プリロードリストに申請する。
● よくある質問
HTTP Strict Transport Security(HSTS) とは何ですか?
HTTP 応答ヘッダーで配信される Web セキュリティポリシーで、宣言した期間中ブラウザに対してそのドメインへ HTTPS でのみアクセスするよう指示する。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
HTTP Strict Transport Security(HSTS) とはどういう意味ですか?
HTTP 応答ヘッダーで配信される Web セキュリティポリシーで、宣言した期間中ブラウザに対してそのドメインへ HTTPS でのみアクセスするよう指示する。
HTTP Strict Transport Security(HSTS) からどのように防御しますか?
HTTP Strict Transport Security(HSTS) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
HTTP Strict Transport Security(HSTS) の別名は何ですか?
一般的な別名: Strict-Transport-Security, HSTS ヘッダー。