HSTSとは何ですか？

WebブラウザにHTTPS接続のみを強制するHTTPレスポンスヘッダ。HTTP接続をブラウザ側で自動的にHTTPSに変換し、中間者攻撃やダウングレード攻撃を防ぐ。

HSTSのポイントは？

Strict-Transport-Securityヘッダをサーバが返すことで、ブラウザにHTTPS接続を強制する。max-ageで有効期間を指定し、その間はブラウザが自動的にHTTPをHTTPSに変換する。includeSubDomainsでサブドメインにも適用、preloadでブラウザに事前登録できる。SSLストリッピング攻撃（HTTPSをHTTPに落とす中間者攻撃）への有効な対策

【えいちえすてぃーえす】

HSTS とは？

💡 「このサイトには必ずHTTPSでアクセスして」とブラウザに覚えさせる仕組み

📌 このページのポイント

Strict-Transport-Securityヘッダをサーバが返すことで、ブラウザにHTTPS接続を強制する
max-ageで有効期間を指定し、その間はブラウザが自動的にHTTPをHTTPSに変換する
includeSubDomainsでサブドメインにも適用、preloadでブラウザに事前登録できる
SSLストリッピング攻撃（HTTPSをHTTPに落とす中間者攻撃）への有効な対策

HSTS：ブラウザにHTTPS接続を強制する仕組み

ひよこ

HTTPSにリダイレクトするだけじゃダメなの？

ペンギン先生

HTTPからHTTPSへのリダイレクトは大事だけど、最初の1回はHTTPでアクセスするよね。この最初のHTTP通信が中間者攻撃の隙になるんだ。HSTSを設定すると、2回目以降はブラウザが最初からHTTPSでアクセスするようになるから、HTTPの通信自体が発生しなくなるよ。

ひよこ

SSLストリッピング攻撃って何？

ペンギン先生

中間者がユーザーとサーバの間に入って、ユーザーにはHTTPで通信しつつ、サーバにはHTTPSで通信する攻撃だよ。ユーザーはHTTPで通信していることに気づかず、通信内容が盗聴されてしまうんだ。HSTSがあれば、ブラウザがHTTP通信を拒否するからこの攻撃を防げるよ。

ひよこ

preloadって何？

ペンギン先生

HSTSは最初のアクセスでヘッダを受け取る必要があるよね。preloadを設定してHSTS Preload Listに登録すると、ブラウザに最初からHTTPS必須のサイトとして組み込まれるんだ。初回アクセスからHTTPS強制になるから、最も安全な方法だよ。

ひよこ

HSTSの設定で注意することは？

ペンギン先生

max-ageの値を短くし過ぎないこと（最低でも1年=31536000秒が推奨）、HTTPSの証明書管理を確実にすること。HSTSを設定したのに証明書が切れると、ブラウザがHTTPSを強制するけど接続できないからサイトに全くアクセスできなくなるんだ。preloadの登録を解除するのにも時間がかかるから、慎重に設定しようね。

まとめ：ざっくりこれだけ覚えればOK！

「HSTS」って出てきたら「ブラウザにHTTPS接続を強制するセキュリティヘッダだな」と思えればだいたいOK！

📖 おまけ：英語の意味

「HTTP Strict Transport Security」＝ HTTP厳格トランスポートセキュリティ

💬 「厳格に（Strict）」安全な通信（Transport Security）を使うよう強制する仕組みだよ

← 用語集にもどる