03-6758-0529

(10:00〜18:00 土日祝日を除く)

SSL・EV SSL サーバー証明書 サポート

Hypertext Strict Transport Security(HSTS)とは

Hypertext Strict Transport Security(HSTS)は、WebブラウザにTLSの使用を強制するポリシーメカニズムです。
WebブラウザがHSTS指定されているWebサイトにアクセスすると、Webサーバーは次回からhttpsアクセスするようにWebブラウザに通知します。
こうして、HSTSはすべての通信がクライアント側のセキュアなトランスポート層を介して行われることを保証することにより、TLSのより効果的な実装を可能にします。
HSTSは、特に中間者(MiTM)攻撃防止に有効とされています。

HSTSは2012年にRFC 6797で規定されています。

HSTSを設定する

構成要素

Strict-Transport-Security ヘッダーを構成するフラグは「max-age」「includeSubDomains」「preload」です。

HSTS Preloadリスト

HSTS Preloadリストとは各ブラウザが持つリストです。このリストに登録されたドメインにhttpでアクセスしようとした場合、ブラウザは自動的にhttpsに切り替えてアクセスします。
HSTS Preloadリストはすでに主要ブラウザ(Chrome、Firefox、Safari、Internet Explorer、Microsoft Edge、Opera)で採用されています。
HSTSが指定されていてもHSTS Preloadリストに未登録のサイト場合は、初回のアクセスに限りhttp接続になることがあります。

HSTS Preloadリストへの登録を急ぐ場合は、Strict-Transport-Security preloadを指定した上でHSTS Preload List Submissionで申請することができます。

設定手順

もし設定に間違いがあった場合も「max-age」の間は取り消すことができないので、最初は「max-age」を数分以内にし、設定に間違いがないことが分かってから、HSTS Preload List Submissionが規定している、10886400秒(18週)以上を設定します。
「preload」も設定に間違いがないことが確認できてから指定します。

サーバーでの設定方法

Copyright © Sophia Research Institute,Ltd. All rights reserved.