HSTS|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問14
出典:令和4年春期 午前Ⅱ 問14
分野:セキュリティ / セキュリティ実装技術
HTTP Strict Transport Security(HSTS)の動作はどれか。
- ア:HTTP over TLS(HTTPS)によって接続しているとき,EV SSL証明書であることを利用者が容易に識別できるように,Webブラウザのアドレス表示部分を緑色に表示する。
- イ:Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。
- ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。
- エ:Webサイトにアクセスすると,Webブラウザは,以降の指定された期間,当該サイトには全てHTTPSによって接続する。
TSUNAGARU-ADVICE
まず押さえたいこと
HSTSは、Webサーバがブラウザに対して、以降の一定期間そのサイトへHTTPSで接続するよう指示する仕組みです。ポイントは、ブラウザにHTTPS接続を強制させることです。
迷ったときの判断軸
EV SSL証明書の表示、圧縮、TLSセッションの再利用ではなく、HSTSはHTTPレスポンスヘッダーによってブラウザの接続動作を制御します。一度HSTSが有効になると、指定期間中はそのサイトへのアクセスをHTTPではなくHTTPSに切り替えて接続すると判断できます。
科目Bにつなげるために
科目Bでは、HTTPS化の設定やHTTPレスポンスヘッダーの役割を問われることがあります。HSTSは、利用者が誤ってHTTPでアクセスした場合でもHTTPS接続に誘導し、平文通信やダウングレードを防ぎやすくする対策として理解しておきましょう。
HSTSは、Webブラウザに対して「このWebサイトには必ずHTTPSで接続してください」と指示するHTTPレスポンスヘッダーです。
通常、HTTPでアクセスされた場合は、301リダイレクトなどでHTTPSのページへ転送します。しかし、最初のHTTPアクセスは暗号化されていないため、HTTPSへ転送される前に通信を改ざんされたり、中間者攻撃を受けたりするおそれがあります。
そこで使われるのがHSTSです。WebサイトがHSTSを通知すると、ブラウザはそのサイトを「HTTPSで接続すべきサイト」として記録します。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:HTTP over TLS(HTTPS)によって接続しているとき,EV SSL証明書であることを利用者が容易に識別できるように,Webブラウザのアドレス表示部分を緑色に表示する。
⇒EV SSL証明書の表示に関する説明です。HSTSは、証明書の種類を緑色で表示する仕組みではなく、ブラウザにHTTPSでの接続を強制させるための仕組みです。
イ:Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。
⇒コンテンツ圧縮に関する説明です。HSTSは圧縮方式ではなく、HTTPでの接続を避け、HTTPS接続を利用させるためのセキュリティヘッダーです。
ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。
⇒TLSのセッション再開などに関する説明です。HSTSはTLSハンドシェイクの方式ではなく、ブラウザに対して一定期間HTTPS接続を使用するよう指示する仕組みです。