Google は、.dev、.app、.eat など、最近購入した 45 のトップレベル ドメイン (TLD) で HTTPS セキュリティを強制し、それらの TLD を使用するサイトへのすべての接続が暗号化されたチャネル経由になることを保証すると発表しました。
HSTS とは何ですか?
HTTP Strict Transport Security(HSTS)は、ユーザーがウェブサイトに最初に接続した後、常に暗号化されたHTTPSチャネルを介して接続することを保証するウェブセキュリティポリシーです。例えば、ユーザーがその後http://gmail.comに接続しようとすると、ブラウザはリクエストをGoogleに送信する前に自動的にhttps://gmail.comに切り替えます。
最初の接続時にブラウザが HSTS 応答ヘッダーを受信すると、ユーザーは HTTP を使用してそのサイトに接続できなくなります。つまり、ダウングレード攻撃 (HTTPS から HTTP へ) も防止されます。
ただし、HSTS は通常、特定の Web サイトのブラウザーで有効にする前に最初の接続を必要とするため、攻撃者が特定の Web サイトにアクセスしているユーザーに対して中間者攻撃を開始できる小さな機会がまだ存在する可能性があります。
主要ブラウザのHSTSプリロードリストに特定のウェブサイトが含まれていれば、この問題は修正できます。これにより、ブラウザは最初の接続からHTTPS暗号化を強制できるようになります。
ドメイン全体へのHTTPSの強制
ブラウザのHSTSプリロードリストには、ドメインとサブドメインだけでなく、TLD全体も含めることができます。例えば、.comというTLDがこのリストに含まれると、HTTPS経由でない限り、既存の.comウェブサイトに接続できなくなります。
多くのウェブサイトがまだHTTPSを導入しておらず、ましてや訪問者にHTTPSの使用を義務付けていないことを考えると、少なくとも当面は実現不可能です。しかし、.devや.appといった新しいTLDではこれが可能であり、Googleは本日これを発表しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleは最近45のTLDを買収し、これら45のTLDでHTTPSを強制できるようになりました。同社は最近ドメインレジストラにもなったため、他の企業もGoogleが所有するデフォルトで安全なTLDでドメインを登録できるようになります。
Google はまた、他の新しい TLD のすべての所有者が HSTS をデフォルトで有効にすることを期待しています。これにより、そのような TLD を使用するすべての新しい Web サイトが常に HTTPS 経由で接続されることが保証されます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
