質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.46%
HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

HTTPヘッダー

Hypertext Transfer Protocol(HTTP)の中のHTTPヘッダフィールドはHTTPの要求やレスポンスの機能しているパラメーターが含まれます。その要求もしくはレスポンスライン(メッセージの最初の一行)でメッセージヘッダを作ります。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

1回答

201閲覧

Strict-Transport-Securityのpreloadとは何なのでしょうか。

chiba-ken

総合スコア1

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

HTTPヘッダー

Hypertext Transfer Protocol(HTTP)の中のHTTPヘッダフィールドはHTTPの要求やレスポンスの機能しているパラメーターが含まれます。その要求もしくはレスポンスライン(メッセージの最初の一行)でメッセージヘッダを作ります。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

1グッド

0クリップ

投稿2024/02/09 02:27

編集2024/02/09 02:28

Strict-Transport-Securityのpreloadについて知りたいです

Webブラウザに対してSSL/TLSの利用を強制して盗聴を防ぐHSTSという仕組みがあります。これはレスポンスヘッダに特定のヘッダ(Strict-Transport-Security)を含み、ブラウザに指示することで実現されています。しかし最初の1回はヘッダの有無がわからないので平文で通信してしまい、攻撃を受ける可能性があります。
そこでブラウザ内で予め登録されたドメインのリストを持っておき、それらに対しては最初からhttpsを使うというプリロードと呼ばれる仕組みがあります。

ここまではわかります。

ところでStrict-Transport-Securityヘッダにpreloadという引数を設定することもできます。
Strict-Transport-Security - HTTP | MDN

Strict-Transport-Security: max-age=<expire-time>; preload

これはいったい何なのでしょうか。そもそも最初の1回でHSTSヘッダを確認できないからプリロードの仕組みを用意するのに、その確認できないヘッダにpreload引数を入れても意味が無いのではないでしょうか。

ikedas👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dameo

2024/02/09 06:25

HSTS自体全く知りませんが、書いてあることをそのまま読んでいって、preloadはリストへの登録・維持に必要な条件になっており https://hstspreload.org/ 多分登録した人が適切な権限を持っていることを確認するためのプロセスだと思いました。 そもそもブラウザにハードコードされるリストらしいので、ブラウザのリリースタイミングでしか追加も削除もされません。その場限りのチェックではないのでしょう。
guest

回答1

0

ベストアンサー

HSTS Preload List Submissionサイトにドメインを登録申請することで、主要なブラウザベンダが使用するプリロードリストに登録ができます (このHSTSプリロードリストはオプトイン方式で、申請しないのに勝手にリストに載せてもらえることはありません)。

申請の要件」のひとつとして「ドメインへのHTTPSリクエストに対してHSTSヘッダ (正確にはStrict-Transport-Security HTTPレスポンスヘッダフィールド) を提供すること」としており、そのフィールドの仕様の一部として「preloadディレクティブを指定しなければならない」というものがあります (preloadディレクティブ自体はRFC6797で規定されたものではありませんが、その構文は同RFCに準拠しています)。

そして、上記リストではさらに登録の「継続の要件」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。【追記】つまり、このpreloadディレクティブはユーザエージェントに対してプリロードリストに登録されていることを知らせるためのものではありません。プリロードリスト運営者側が、(たとえば登録された各ドメインに定期的にアクセスするボットを稼働させるなどして) 申請の要件を満たし続けているか確認できるようにするものです。

逆に言うと、上記リンク先でも説明されているように、ドメイン登録者はHSTSヘッダフィールドからpreloadディレクティブを削除する (あるいは単にHSTSヘッダフィールドの送出をやめる) ことで、プリロードリストの登録を削除できます。

以上のような仕組みなので、リスト登録の申請をしてから登録が継続する限りは、実質的にpreloadディレクティブが必須であることになります。

投稿2024/02/10 04:46

編集2024/02/10 09:22
ikedas

総合スコア4386

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問