HSTS

特徴

  • HSTS(HTTP Strict Transport Security)とは、WebサイトがWebブラウザに対してHTTPS(HTTP over TLS)での接続を強制させる機能である。
  • HTTPS化したWebサイトでは、一般的には、HTTPでアクセスした利用者を「301 HTTPリダイレクト」でHTTPSページにリダイレクトさせるが、その場合、初回のHTTPアクセスに対して、リダイレクト先の書き換えなど中間者攻撃を受ける可能性がある。
  • HSTSでは、HTTPリダイレクトのコンテンツを返さずに、レスポンスヘッダでHSTSを通知する。(例:「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」)
  • 以降、Webブラウザは、指定された期間、このサイトへの接続の全てをHTTPSとする。

過去問

平成30年度 秋期 情報処理安全確保支援士試験

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問12(一部、加工あり)】

HTTP Strict Transport Security(HSTS)の動作はどれか。

  1. HTTP over TLS(HTTPS)によって接続しているとき、EV SSL証明書であることを利用者が容易に識別できるように、Webブラウザのアドレス表示部分を緑色に表示する。
    →EV SSL(Extended Validation SSL)証明書に対応したWebブラウザで、サーバ証明書の検証に成功し、有効期間などの安全性を確認できた場合の動作を示したものです。「Webブラウザのアドレス表示部分を緑色に表示」については、現時点ではそのような動作をしないWebブラウザも多くなっているようです。
  2. Webサーバからコンテンツをダウンロードするとき、どの文字列が秘密情報かを判定できないように圧縮する。
    →TLSにおけるレコード圧縮やgzip圧縮などのHTTP圧縮方式の動作です。
  3. WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて、一度確立したセッションとは別の新たなセッションを確立するとき、既に確立したセッションを使って改めてハンドシェイクを行う。
    →TLSにおける再ネゴシエーションの動作です。
  4. Webサイトにアクセスすると、Webブラウザは、以降の指定された期間、当該サイトには全てHTTPSによって接続する。
    →正解