特徴
- HSTS(HTTP Strict Transport Security)とは、WebサイトがWebブラウザに対してHTTPS(HTTP over TLS)での接続を強制させる機能である。
- HTTPS化したWebサイトでは、一般的には、HTTPでアクセスした利用者を「301 HTTPリダイレクト」でHTTPSページにリダイレクトさせるが、その場合、初回のHTTPアクセスに対して、リダイレクト先の書き換えなど中間者攻撃を受ける可能性がある。
- HSTSでは、HTTPリダイレクトのコンテンツを返さずに、レスポンスヘッダでHSTSを通知する。(例:「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」)
- 以降、Webブラウザは、指定された期間、このサイトへの接続の全てをHTTPSとする。
過去問
情報処理安全確保支援士試験 令和3年度 春期 午前2 問15
【出典:情報処理安全確保支援士試験 令和3年度 春期 午前2 問15(一部、加工あり)】
HSTS(HTTP Strict Transport Security)の説明はどれか。
- HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合、Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。
→正解 - HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合、Webページの文書やスクリプトについて、あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
→Webブラウザの「同一オリジンポリシー」機能の説明です。 - HTTPSで通信が保護されている場合にだけ、cookieの属性によらず強制的にcookieを送信する。
→このような機能はありません。 - 信頼性が高いサーバ証明書を有するWebサイトとのHTTPS通信では、Webブラウザに鍵マークを表示する。
→Webブラウザの機能です。
情報処理安全確保支援士試験 平成30年度 秋期 午前2 問12
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問12(一部、加工あり)】
HTTP Strict Transport Security(HSTS)の動作はどれか。
- HTTP over TLS(HTTPS)によって接続しているとき、EV SSL証明書であることを利用者が容易に識別できるように、Webブラウザのアドレス表示部分を緑色に表示する。
→EV SSL(Extended Validation SSL)証明書に対応したWebブラウザで、サーバ証明書の検証に成功し、有効期間などの安全性を確認できた場合の動作を示したものです。「Webブラウザのアドレス表示部分を緑色に表示」については、現時点ではそのような動作をしないWebブラウザも多くなっているようです。 - Webサーバからコンテンツをダウンロードするとき、どの文字列が秘密情報かを判定できないように圧縮する。
→TLSにおけるレコード圧縮やgzip圧縮などのHTTP圧縮方式の動作です。 - WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて、一度確立したセッションとは別の新たなセッションを確立するとき、既に確立したセッションを使って改めてハンドシェイクを行う。
→TLSにおける再ネゴシエーションの動作です。 - Webサイトにアクセスすると、Webブラウザは、以降の指定された期間、当該サイトには全てHTTPSによって接続する。
→正解