Strict-Transport-Securityのpreloadとは何なのでしょうか。

Strict-Transport-Securityのpreloadについて知りたいです

Webブラウザに対してSSL/TLSの利用を強制して盗聴を防ぐHSTSという仕組みがあります。これはレスポンスヘッダに特定のヘッダ(Strict-Transport-Security)を含み、ブラウザに指示することで実現されています。しかし最初の1回はヘッダの有無がわからないので平文で通信してしまい、攻撃を受ける可能性があります。
そこでブラウザ内で予め登録されたドメインのリストを持っておき、それらに対しては最初からhttpsを使うというプリロードと呼ばれる仕組みがあります。

ここまではわかります。

ところでStrict-Transport-Securityヘッダにpreloadという引数を設定することもできます。
Strict-Transport-Security - HTTP | MDN

Strict-Transport-Security: max-age=<expire-time>; preload

これはいったい何なのでしょうか。そもそも最初の1回でHSTSヘッダを確認できないからプリロードの仕組みを用意するのに、その確認できないヘッダにpreload引数を入れても意味が無いのではないでしょうか。

dameo

2024/02/09 06:25

HSTS自体全く知りませんが、書いてあることをそのまま読んでいって、preloadはリストへの登録・維持に必要な条件になっており https://hstspreload.org/ 多分登録した人が適切な権限を持っていることを確認するためのプロセスだと思いました。そもそもブラウザにハードコードされるリストらしいので、ブラウザのリリースタイミングでしか追加も削除もされません。その場限りのチェックではないのでしょう。

行動規範の内容に同意します

回答1件

ベストアンサー

HSTS Preload List Submissionサイトにドメインを登録申請することで、主要なブラウザベンダが使用するプリロードリストに登録ができます (このHSTSプリロードリストはオプトイン方式で、申請しないのに勝手にリストに載せてもらえることはありません)。

「申請の要件」のひとつとして「ドメインへのHTTPSリクエストに対してHSTSヘッダ (正確にはStrict-Transport-Security HTTPレスポンスヘッダフィールド) を提供すること」としており、そのフィールドの仕様の一部として「preloadディレクティブを指定しなければならない」というものがあります (preloadディレクティブ自体はRFC6797で規定されたものではありませんが、その構文は同RFCに準拠しています)。

そして、上記リストではさらに登録の「継続の要件」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。【追記】つまり、このpreloadディレクティブはユーザエージェントに対してプリロードリストに登録されていることを知らせるためのものではありません。プリロードリスト運営者側が、(たとえば登録された各ドメインに定期的にアクセスするボットを稼働させるなどして) 申請の要件を満たし続けているか確認できるようにするものです。

逆に言うと、上記リンク先でも説明されているように、ドメイン登録者はHSTSヘッダフィールドからpreloadディレクティブを削除する (あるいは単にHSTSヘッダフィールドの送出をやめる) ことで、プリロードリストの登録を削除できます。

以上のような仕組みなので、リスト登録の申請をしてから登録が継続する限りは、実質的にpreloadディレクティブが必須であることになります。

投稿2024/02/10 04:46

編集2024/02/10 09:22