HTTP Strict Transport Security(HSTS)とは?
HTTP Strict Transport Security(HSTS)は、ウェブサイトをより安全に閲覧するための仕組みです。
簡単に言うと、ブラウザに対して、そのサイトにアクセスする際は常に暗号化されたHTTPSを使用し、暗号化されていないHTTPを一切使わないように強制するセキュリティ機能です。
なぜHSTSが必要なのか
通常、ブラウザのアドレスバーにドメイン名を入力すると、まず暗号化されていないHTTPでリクエストが送られ、サーバー側でHTTPSへリダイレクト(転送)されることが一般的です。
しかし、このリダイレクトの瞬間に攻撃者が割り込むと、偽のサイトに誘導されたり、通信内容を盗み見られたりするリスクがあります。これを中間者攻撃(MITM)やSSL剥奪(SSL Stripping)と呼びます。
HSTSの仕組み
HSTSが有効なサイトに一度アクセスすると、サーバーはブラウザに以下の指示を伝えます。
- 今後、指定された期間内はHTTPを一切使用せず、自動的にHTTPSに変換して接続すること
- もし証明書に不備(有効期限切れや自己署名など)がある場合は、接続を完全に遮断し、ユーザーに警告を無視してアクセスすることを許可しないこと
これにより、ユーザーが意識しなくても常に安全な接続が保証されます。
HSTSの課題と「HSTSプリロード」
HSTSには、初めてそのサイトにアクセスする時だけはHTTPが使われる可能性があるという弱点があります。
この初回のアクセスも保護するために考案されたのがHSTSプリロードです。これは、主要なブラウザ(Chrome, Firefox, Safariなど)のプログラム自体に、あらかじめHSTSを強制するドメインのリストを埋め込んでおく仕組みです。
HSTSを設定するメリット
- 中間者攻撃によるデータ盗聴や改ざんを防止できる
- HTTPSへの強制リダイレクトによる遅延を減らし、わずかにパフォーマンスが向上する
- セキュリティ意識の高いサイトとして、信頼性を向上させることができる
まとめ
ウェブサイトを運営する場合、常時HTTPS化だけでなく、このHSTSを正しく設定することが現代のセキュリティ基準において非常に重要です。