HSTSHTTP Strict Transport Security
HSTS (HTTP Strict Transport Security) は、ブラウザに対して指定期間HTTPSのみで接続するよう強制する応答ヘッダーです。RFC 6797で規定され、ダウングレード攻撃を防ぎます。
詳細解説
HSTS は、サーバーがレスポンスヘッダーに「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」を返すことで、ブラウザに以後そのドメインへの接続をHTTPSに強制させる仕組みです。max-age は秒単位の有効期間で、推奨は1年 (31536000) 以上です。includeSubDomains を付けるとサブドメインも強制対象、preload を付けるとhstspreload.org に登録申請でき、Chrome等のブラウザに組み込まれて初回アクセスからHTTPSが強制されます。プリロード登録は事実上不可逆 (削除に数ヶ月かかる) なので、サブドメイン全体をHTTPS対応してから登録する必要があります。HSTSがあれば中間者によるHTTPダウングレード攻撃を防げます。
実装例 / 使い方
- 01Cloudflare のダッシュボードで HSTS max-age=31536000 を有効化
- 02hstspreload.org に exbk.jp をプリロード登録申請
- 03Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
関連する用語
HTTPS
HTTP Secure / HTTP over TLSHTTPS は HTTP 通信を TLS (Transport Layer Security) で暗号化したプロトコルで、盗聴・改ざん・なりすましを防ぎます。R...
CSP
Content Security PolicyCSP (Content Security Policy) は、ブラウザに読み込み許可するスクリプト・スタイル・画像等の出所をホワイトリストで指定するセキュリテ...
中間者攻撃 / MITM
Man-in-the-Middle Attack中間者攻撃 (MITM) は、通信路に第三者が介在しデータを盗聴・改ざんする攻撃です。対策はHTTPS・HSTS・証明書ピンニング・公開鍵基盤 (PKI) の信...
CSRF
Cross-Site Request ForgeryCSRF (Cross-Site Request Forgery) は、ログイン中のユーザーのCookieを悪用し意図しない操作を実行させる攻撃で、対策にはCS...
HSTSを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信