令和6年春期試験問題 午前Ⅱ 問13
問13解説へ
HTTP Strict Transport Security(HSTS)の動作はどれか。
- HTTP over TLS(HTTPS)によって接続しているとき,接続先のサーバ証明書がEV SSL証明書である場合とない場合で,Webブラウザのアドレス表示部分の表示を変える。
- Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。
- WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。
- Webブラウザは,Webサイトにアクセスすると,以降の指定された期間,当該サイトには全てHTTPSによって接続する。
正解 エ問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
中分類:セキュリティ
小分類:セキュリティ実装技術
広告
解説
HSTS(HTTP Strict Transport Security)は、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。
//アクセスから365日間、サブドメインも含めてHTTPS接続を強制
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的ですが、初回のHTTPアクセスは暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されています。Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。
- EV SSL証明書であってもなくてもアドレスバーの表示は変わりません。なお、昔はEV SSL証明書(SSL証明書のうち身元確認と厳格な審査を受けたもの)であれば、アドレスバーが安全を示す緑色になったり、アドレスバーに登録組織名が表示されたりといった違いがありました。
- gzip圧縮などのHTTP圧縮方式の動作です。
- キープアライブ(Keep-Alive)の動作です。
- 正しい。HSTSの動作です。
広告