情報処理安全確保支援士試験 令和6年春期午前Ⅱ HSTS
出典:令和6年春期 午前Ⅱ 問13
分野:セキュリティ / セキュリティ実装技術
HTTP Strict Transport Security(HSTS)の動作はどれか。
- ア:HTTP over TLS(HTTPS)によって接続しているとき,接続先のサーバ証明書がEV SSL証明書である場合とない場合で,Webブラウザのアドレス表示部分の表示を変える。
- イ:Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。
- ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。
- エ:Webブラウザは,Webサイトにアクセスすると,以降の指定された期間,当該サイトには全てHTTPSによって接続する。
TSUNAGARU-ADVICE
まず押さえたいこと
HSTSは、Webブラウザに対して、対象のWebサイトへ一定期間は常にHTTPSで接続するよう指示する仕組みです。
迷ったときの判断軸
HSTSは、証明書の表示を変えたり、通信内容を圧縮したり、TLSセッションを再利用したりする仕組みではありません。ポイントは、HTTPでアクセスしようとしてもHTTPSへ強制することにあります。
科目Bにつなげるために
科目Bでは、HTTPSを使っているかだけでなく、利用者が誤ってHTTPで接続した場合にも安全な通信へ誘導できるかが問われます。HSTSは、ダウングレード攻撃やHTTP接続への誘導を防ぐための仕組みとして理解しておきましょう。
HSTS(HTTP Strict Transport Security)は、Webブラウザに対して「このWebサイトには必ずHTTPSで接続する」と覚えさせる仕組みです。
通常、HTTPでアクセスされた場合は、301リダイレクトなどでHTTPSのページへ転送します。しかし、最初のHTTPアクセスは暗号化されていないため、HTTPSへ転送される前に通信を改ざんされたり、中間者攻撃を受けたりする可能性があります。
そこで使われるのがHSTSです。Webサイトは、次のようなHTTPレスポンスヘッダーを返して、ブラウザにHTTPS接続を強制するよう通知します。
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
HSTSの通知を受け取ったブラウザは、そのサイトを記録します。以降、利用者がHTTPのURLにアクセスしようとしても、ブラウザが自動的にHTTPSで接続します。
つまりHSTSは、HTTPで接続される隙を減らし、Webサイトへの通信をより安全にするための仕組みです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:HTTP over TLS(HTTPS)によって接続しているとき,接続先のサーバ証明書がEV SSL証明書である場合とない場合で,Webブラウザのアドレス表示部分の表示を変える。
⇒EV SSL証明書の表示に関する説明です。HSTSは、指定期間中にHTTPS接続を強制する仕組みです。
イ:Webサーバからコンテンツをダウンロードするとき,どの文字列が秘密情報かを判定できないように圧縮する。
⇒圧縮に関する説明であり、HSTSの動作ではありません。HSTSはHTTPS接続を強制するための仕組みです。
ウ:WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて,一度確立したセッションとは別の新たなセッションを確立するとき,既に確立したセッションを使って改めてハンドシェイクを行う。
⇒TLSのセッション再開などに関する説明です。HSTSはTLSハンドシェイクの再利用ではなく、HTTPではなくHTTPSで接続させる仕組みです。