IEも、HSTS対応

HTTP Strict Transport Security (HSTS) をIEがサポートしたとマイクロソフトが発表しました。

HSTS.png

Chrome、Firefox (Gecko)、Opera、 Safariは既にHSTSをサポートしており、iPhoneのSafariもHSTSに対応しています。

IEのHSTS対応により、主要ブラウザが全てHSTS対応となります。

なお、IEのHSTS対応は、Windows 10 January Preview Buildからです。

新ブラウザ、Project SpartanもHSTSサポート予定とのことです。

Chromeのプリロードリストが標準に

マイクロソフトは、IEのプリロートリストに、Chromeのリストを使用していると発表に書いています。

Safri も Firefoxも、Chromeのリストを採用していると、Chromeのサイトに記載されています。

MozillaもChromeのリストをベースにしていると公表しています。

IEのChoomeリスト採用により、プリロードリストのデファクトはChromeになりました。

Chromeプリロードリストへのサイト登録申請はhttps://hstspreload.appspot.com/からできます。

HSTSとは

HSTSは、WEBサイトにHTTPSで安全にアクセスすることを強制する機能です。 Strict Transport Security 機能により、HSTS対応サイトには HTTP でアクセスせず、自動的に HTTPS を使用するようになります。

HTTPS強制の方法は2つあります。

プリロード・リストで指定する

ブラウザにHTTPSでアクセスすべきサイトを事前登録(プリロード)しておき、このリストにあるサイトにアクセスする場合はユーザの指定に関わらず、常にHTTPSでアクセスします。

証明書が失効したり、壊れたりすると、当該サイトにはどうやってもアクセス不能になります。

プリロードリストは、Chomeのリストがデファクト化しています。

HSTSヘッダーで指定する

一度HTTPSでアクセスすると、Webサイトからブラウザへのヘッダー(HTSヘッダー)に、HTTPの代わりに HTTPS で通信を行うように指定する情報が記載されて返ってきます。

ブラウザはその情報を保存して、当該サイトへのアクセスは、次回以降強制的にHTTPSにします。

ヘッダーで指定する情報には、有効期限もあります。有効期限が切れるとHTTPS強制は解除され、通常通り HTTP でサイトへのアクセスもできるようになります。

HTTPでのアクセスに対し、WebサイトがHTSヘッダーを送ることはありません。

ブラウザも、HTTPSでサイトを正しく認証できた場合だけ、HTSヘッダーの情報を信用し受け取ります。

リダイレクトのリスクをHSTSで解消

HTTPでの通信を、HTTPSに切り替えることは、WEBサイトが、 HTTPのコネクションを HTTPS へリダイレクトすることでも実現可能です。

しかし、リダイレクトの場合、リダイレクトされるまでは暗号化されない接続を行うことになります。

悪意のあるサイトへリダイレクトされる可能性もあります。

HSTSでの改善

HSTSでは、リダイレクトを使わないので、上記のようなMan-in-Middleのリスクは回避できます。

ただし、プリロードリストに登録の無いサイトは、何らかの契機で1度HTTPSでアクセスしないと、HTTPS強制はできません。

HSTS対応時の注意点

HSTSのプリロードリストに登録したり、HSTSヘッダーを返すようにして、HSTS対応サイトにする際に気にしたほうが良い事項もあります。

証明書の管理

証明書が無いとか、エラーになるとかすると、無視して接続することができなくなります

HTTP/HTTPS混在はNG

コンテンツがHTTP/HTTPS混在の場合は、全てHTTPSにする必要があります。

httpで外部からファイルを読み込むようなコンテンツは改修が必要になります。

最近のブログ記事

SORACOM,HLR持ちeSIM対応
SORACOMが自前のHLRを持ち、自…
準天頂衛星4機体制に
h2{ font-size:12…
Windows 10 mobile終了
Windows 10 mobileの新機…
カスタム検索

月別 アーカイブ