HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

「常に安全に接続せよ」とブラウザに送るルール。攻撃者が悪用する、最初の保護されていない接続の隙間を塞ぎます。

何のことか

HSTS は HTTP Strict Transport Security の略です。訪問者が初めて接続したときに、あなたのサイトがブラウザに送る短い指示で、こう告げます。「今後は、私には必ず安全にだけ接続せよ。保護されていない接続は決して使うな」。ブラウザはこれを覚え、以後のすべての訪問で自動的に強制します。

ビジネスへの影響

サイトが有効な証明書を持っていても、ごく最初の接続には、安全な版に切り替わる前のわずかなリスクがあります。同じネットワーク上の攻撃者はその一瞬を突いて、訪問者を静かに偽のサイトや保護されていないコピーに送り込み、入力内容を捕らえることができます。

HSTS はその隙間をなくします。ルールを伝えられたブラウザは、もう安全でない接続を一切拒むので、攻撃者が滑り込む窓がありません。顧客からは見えず、あなたにとっては、すべての再訪問を守る静かで一度きりの堅牢化です。

確認方法・対処法

当社の無料チェッカーは、サイトで HSTS が有効かどうかを教えてくれます。無効なら、HSTS 修正ガイドが安全に有効化する方法を説明します。ウェブサイト管理者が追加する小さな設定で、無料です。（サイトがすでに安全な接続で完全に動作するようになってから有効にするのが最善で、その点はガイドが扱います。）

Want to fix this on your own domain? See the free guide →