HSTSとは?HTTPS接続を強制するHTTPレスポンスヘッダー

HTTPS接続を強制するHTTPレスポンスヘッダー「HSTS」についてまとめました。

HSTSとは

HSTSとは、Webブラウザに対して、HTTPS接続を強制するHTTPレスポンスヘッダーです。
WebサイトにアクセスしたWebブラウザは、ヘッダー内で指定された期間だけ以後の接続も全てHTTPSで行います。

【例】

// Webサイトへのアクセスから1週間(604800秒間)、サブドメインも含めてHTTPS接続を強制する
Strict-Transport-Security: max-age=604800; includeSubDomains; preload 

HSTSに対応しているWebサイトの利点

HSTSに対応しているWebサイトでは、HTTPS化される前のアドレス(HTTP)へアクセスするクライアント(Webブラウザ)に対して、コンテンツは返さずにHSTSレスポンスヘッダーを通知します。
HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトし、以降も指定された期間は、全てHTTPSで当該Webサイトへ接続します。
そのため、次もHTTPのアドレスへアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得するためセキュリティが高まります。

HSTSに対応していないWebサイトの欠点

HTTPS化されているが、HSTS非対応のWebサイトは、古いHTTPのアドレスにアクセスしたクライアントに対しては、.htaccessなどを利用してHTTPSページへ転送する設定を行うのが一般的です。
ただし、この場合、初回のアクセスはHTTPとなるため(暗号化されていない状態)、転送前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性があります。

【VSCode入門】インストール~基本的な使い方まで
VSCode(Visual Studio Code)のインストール方法~基本的な使い方までをまとめました。

コメント

タイトルとURLをコピーしました