HSTS
定義
HSTS(HTTP Strict Transport Security)はWebサーバーがブラウザに対して「このドメインには今後指定期間中HTTPSでのみ接続せよ」と命令するセキュリティレスポンスヘッダー(Strict-Transport-Security)です。一度HSTSヘッダーを受け取ったブラウザは設定期間中、HTTPでアクセスしようとしても自動的にHTTPSにアップグレードし、証明書エラーが発生しても接続を続行しません(ユーザーが例外を追加することもできません)。これによりSSL/TLSストリッピング攻撃(中間者がHTTPへのダウングレードを強制する)や混合コンテンツ問題を防ぎます。max-ageは1年(31,536,000秒)以上が推奨で、includeSubDomainsをつければサブドメインにも適用されます。HSTSプリロードリスト(Chromiumプロジェクト管理、主要ブラウザに組み込み済み)にドメインを登録すると初回アクセスからHTTPSを強制でき、ブラウザキャッシュが空でも安全に接続できます。
関連用語
よくある質問
HSTSとは?
WebサーバーがブラウザにHTTPSのみで接続するよう強制するセキュリティヘッダー(Strict-Transport-Security)。設定期間中はHTTPアクセスが自動的にHTTPSにリダイレクトされる。SSL/TLSダウングレード攻撃や中間者攻撃を防ぐ。
同じカテゴリの用語(プロトコル・技術)
APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…
DMARCなどの認証を満たしたメールにブランドロゴを表示し、正当な送信者であることを示しやすくする仕組み。…
どの認証局が自社ドメインのTLS証明書を発行できるかをDNSで指定するレコード。…