2016年09月05日
Tweet
昨日の記事の通りですが、常にHTTPSでの接続をするとき、HSTSという機能があることを書きました。
ここでApacheなどでヘッダーを追加しているだけであれば、そのヘッダーの有効期限が切れれば、また新たにHTTPでのアクセスが行われます。
一方で、google などからサイトに登録すると、chrome に取り込まれてヘッダーの値が関係なくなるようです。
が、ここでとても怖い事が想像されます。
たとえばHTTPSでのアクセスが常に必ず利用されるとは言い切れない場合もあると思います。たとえばサブドメインでもHTTPSを常用として登録していたとき、社内サイトとして検証したいからHTTPのみでの接続でもいいか。そのように設定することは多いと思います。これでも、いったん登録されているHSTSのために、アクセスができなくなる可能性も考えられます。
HSTS Preload list からドメインを削除したい
上記サイトを確認すると、chromeなどのプログラムに埋め込まれることになるようで、削除の場合には、相当に時間がかかるようです。
※4ヶ月かかったと書いてありました。
以上のこと考えると、安易にドメインをHSTSに登録するのではなく、よく吟味したほうがいいように思います。
なおサブドメインを有効にしないという方法で登録することもできるようですが、サブドメインは原則HSTSでの利用ということのようで、これもまた難しいように思いました。
ここでApacheなどでヘッダーを追加しているだけであれば、そのヘッダーの有効期限が切れれば、また新たにHTTPでのアクセスが行われます。
一方で、google などからサイトに登録すると、chrome に取り込まれてヘッダーの値が関係なくなるようです。
が、ここでとても怖い事が想像されます。
たとえばHTTPSでのアクセスが常に必ず利用されるとは言い切れない場合もあると思います。たとえばサブドメインでもHTTPSを常用として登録していたとき、社内サイトとして検証したいからHTTPのみでの接続でもいいか。そのように設定することは多いと思います。これでも、いったん登録されているHSTSのために、アクセスができなくなる可能性も考えられます。
HSTS Preload list からドメインを削除したい
上記サイトを確認すると、chromeなどのプログラムに埋め込まれることになるようで、削除の場合には、相当に時間がかかるようです。
※4ヶ月かかったと書いてありました。
以上のこと考えると、安易にドメインをHSTSに登録するのではなく、よく吟味したほうがいいように思います。
なおサブドメインを有効にしないという方法で登録することもできるようですが、サブドメインは原則HSTSでの利用ということのようで、これもまた難しいように思いました。
