情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問14: HTTP Strict Transport Security（HSTS）の動作はどれか。

問題本文

HTTP Strict Transport Security（HSTS）の動作はどれか。

選択肢

• ア.HTTP over TLS（HTTPS）によって接続しているとき，EV SSL証明書であることを利用者が容易に識別できるように，Webブラウザのアドレス表示部分を緑色に表示する。
• イ.Webサーバからコンテンツをダウンロードするとき，どの文字列が秘密情報かを判定できないように圧縮する。
• ウ.WebサーバとWebブラウザとの間のTLSのハンドシェイクにおいて，一度確立したセッションとは別の新たなセッションを確立するとき，既に確立したセッションを使って改めてハンドシェイクを行う。
• エ.Webサイトにアクセスすると，Webブラウザは，以降の指定された期間，当該サイトには全てHTTPSによって接続する。

正解

エ. Webサイトにアクセスすると，Webブラウザは，以降の指定された期間，当該サイトには全てHTTPSによって接続する。

解説

HSTSは、サーバが応答ヘッダで「以後この期間は必ずHTTPSで接続せよ」とブラウザに指示する仕組み。これによりHTTPでの初回接続やリンクが自動的にHTTPSへ強制され、SSLストリッピング(平文降格)による中間者攻撃を防ぐ。よってエが正解。実務では有効期間の指定やpreloadリスト登録により、最初のリクエストから平文通信を排除できる。

選択肢ごとの解説

• ア.EV証明書をアドレスバーで緑色表示するのはブラウザのUI機能で、HTTPS接続を強制するHSTSとは異なり誤り。
• イ.秘密情報を判定できないよう圧縮する話は別の対策で、接続をHTTPSへ強制するHSTSの動作ではなく誤り。
• ウ.既存セッションを使って再ハンドシェイクする記述はセッション再開等の説明で、HSTSの動作ではないため誤り。
• エ.以降の指定期間は当該サイトへ全てHTTPSで接続するという記述がHSTSの動作で、これが正解。