03-6758-0529

(10:00〜18:00 土日祝日を除く)

SSL・EV SSL サーバー証明書 サポート

HPKP、CSP 「report-uri.io」を利用したテスト方法の紹介

CSPのContent-Security-Policy-Report-OnlyとHPKPのPublic-Key-Pins-Report-Onlyはそれぞれのテストモードです。
「report-uri」を指定することで、指定されたHTTP Header作動状態を詳細に知ることができ、ステップバイステップでの設定が可能になります。
report-uriに自身が管理するサーバーを指定することももちろん可能ですが、セキュリティ研究者のScott Helme氏の開設したreport-uri.ioを使うとすぐにテストを開始できます。
以下では、report-uri.ioを利用したテスト事例を紹介します。

report-uri.io 利用設定

Account作成

report-uri.io の利用にはAccount作成が必要ですが、メールアドレスを登録するだけでとても簡単に作成できます。

  1. https://report-uri.io/にアクセスし、右上端の「Login」ボタンをクリックします。


  2. 左メニューで「Register」をクリックするとAccount作成画面が表示されますので、メールアドレスとパスワードを入力し、「Create account」ボタンをクリックします。


report-uri.io 基本情報設定

report-uri.ioを利用するための基本情報を設定します。

  1. https://report-uri.io/にアクセスし、右上端の「Login」ボタンをクリックしログイします。トップメニューが表示されます。
    有料プランが表示されることがあります。その場合は有料プランを選択するか「Continue Without Paying」を選択してください。


  2. 左メニューの「Filters」をクリックします。
    「Sites to collect reports for」欄に調査対象ホスト名を入力し、「Save」ボタンをクリックします。ここで各種の設定が可能ですが、最初はデフォルトでかまいません。

  3. 左メニューの「Setup」をクリックします。
    Content-Security-Policy-Report-Only、HPKPのPublic-Key-Pins-Report-Only等、テストしたい「policy」の下の「Select」欄のURLをコピーし、テスト設定の「report-uri=」で利用します。
    右欄の「Custom subdomain」で独自のアドレスを設定することもできます。


Copyright © Sophia Research Institute,Ltd. All rights reserved.