分野 ：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ実装技術

HSTS(HTTP Strict Transport Security)は、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的ですが、初回のHTTPアクセスは暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されています。

HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。

• EV SSL証明書であってもなくてもアドレスバーの表示は変わりません。なお、昔はEV SSL証明書（SSL証明書のうち身元確認と厳格な審査を受けたもの）であれば、アドレスバーが安全を示す緑色になったり、アドレスバーに登録組織名が表示されたりといった違いがありました。
• gzip圧縮などのHTTP圧縮方式の動作です。
• キープアライブ(Keep-Alive)の動作です。
• 正しい。HSTSの動作です。