teratail
回答率
85.46%
質問するログイン新規登録
トップHTTPに関する質問Strict-Transport-Securityのpreloadとは何なのでしょうか。

編集履歴

回答編集履歴

2

Typo

2024/02/10 09:22

投稿

ikedas
ikedas

スコア4357

test CHANGED
@@ -2,7 +2,7 @@
2
2
 
3
3
  「[申請の要件](https://hstspreload.org/#submission-requirements)」のひとつとして「ドメインへのHTTPSリクエストに対してHSTSヘッダ (正確には[Strict-Transport-Security HTTPレスポンスヘッダフィールド](https://datatracker.ietf.org/doc/html/rfc6797#section-6.1)) を提供すること」としており、そのフィールドの仕様の一部として「preloadディレクティブを指定しなければならない」というものがあります (preloadディレクティブ自体はRFC6797で規定されたものではありませんが、その構文は同RFCに準拠しています)。
4
4
 
5
- そして、上記リストではさらに登録の「[継続の要件](https://hstspreload.org/#continued-requirements)」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。【追記】つまり、このpreloadディレクティブはユーザエージェントに対してプリロードリストに登録されていることを知らせるためのものではありません。プリロードリスト運営側が、(たとえば登録された各ドメインに定期的にアクセスするボットを稼働させるなどして) 申請の要件を満たし続けているか確認できるようにするものです。
5
+ そして、上記リストではさらに登録の「[継続の要件](https://hstspreload.org/#continued-requirements)」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。【追記】つまり、このpreloadディレクティブはユーザエージェントに対してプリロードリストに登録されていることを知らせるためのものではありません。プリロードリスト運営側が、(たとえば登録された各ドメインに定期的にアクセスするボットを稼働させるなどして) 申請の要件を満たし続けているか確認できるようにするものです。
6
6
 
7
7
  逆に言うと、上記リンク先でも説明されているように、ドメイン登録者はHSTSヘッダフィールドからpreloadディレクティブを削除する (あるいは単にHSTSヘッダフィールドの送出をやめる) ことで、プリロードリストの登録を削除できます。
8
8
 

1

追記

2024/02/10 09:21

投稿

ikedas
ikedas

スコア4357

test CHANGED
@@ -2,7 +2,7 @@
2
2
 
3
3
  「[申請の要件](https://hstspreload.org/#submission-requirements)」のひとつとして「ドメインへのHTTPSリクエストに対してHSTSヘッダ (正確には[Strict-Transport-Security HTTPレスポンスヘッダフィールド](https://datatracker.ietf.org/doc/html/rfc6797#section-6.1)) を提供すること」としており、そのフィールドの仕様の一部として「preloadディレクティブを指定しなければならない」というものがあります (preloadディレクティブ自体はRFC6797で規定されたものではありませんが、その構文は同RFCに準拠しています)。
4
4
 
5
- そして、上記リストではさらに登録の「[継続の要件](https://hstspreload.org/#continued-requirements)」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。
5
+ そして、上記リストではさらに登録の「[継続の要件](https://hstspreload.org/#continued-requirements)」として「登録者のサイトが常に『申請の要件』を満たし続けるようにしなければならない」としています。つまり、常にpreloadディレクティブを持ったHSTSヘッダフィールドを送出し続けなければ、リスト登録を解除されることになります。【追記】つまり、このpreloadディレクティブはユーザエージェントに対してプリロードリストに登録されていることを知らせるためのものではありません。プリロードリスト運営社側が、(たとえば登録された各ドメインに定期的にアクセスするボットを稼働させるなどして) 申請の要件を満たし続けているか確認できるようにするものです。
6
6
 
7
7
  逆に言うと、上記リンク先でも説明されているように、ドメイン登録者はHSTSヘッダフィールドからpreloadディレクティブを削除する (あるいは単にHSTSヘッダフィールドの送出をやめる) ことで、プリロードリストの登録を削除できます。
8
8