HTTP 301はHTTPSにリダイレクトされますか？

HTTP経由で301リダイレクトを行っているので、誰かがその接続を中間者にして、どこにでもリダイレクトできます。特に、実際にはまったくリダイレ​​クトできず、代わりにコンピュータとhttps://login.example.com、接続を監視し、http://login.example.comという名前でコンテンツを提供します。

これを緩和する方法は、HSTS HTTPヘッダーを使用することです。ユーザーが最初にページをロードするとき、将来の日付までのみサイトがHTTPSでロードされることをブラウザーに通知します（通常、ディレクティブには有効期限が設定されています）遠い将来）。これは、ユーザーがHTTPS経由でサイトに1回接続すると、HSTSディレクティブの有効期限が切れるまで、常に接続することを意味します。

これで、最後のシナリオが1つ残ります。ユーザーのブラウザーがサーバーのHSTSヘッダーを見る前に、攻撃者が接続をMITMしているとしましょう。その場合、ユーザーのブラウザーは、HTTPS以外の接続を使用してはならないことを認識しません。これを緩和する方法は、HSTSプリロードリストにWebサイトを含めることです。つまり、Webブラウザーは、サイトがHTTPSのみであることをすでに認識して出荷されます。 Chrome、Firefox、Safari、IE11、およびEdgeにはすべて、Chrome HSTSプリロードリストを含むHSTSプリロードリストがあり、いくつかの手順でサイトを送信することもできます- more Chrome HSTS Preload List に関する情報。

サイトをHSTSプリロードリストに追加し、それに伴う事項を完了すると、これらのブラウザーの新しいバージョンを使用しているユーザーが、偶発的な攻撃者によるHTTPSからHTTPへのMITMダウングレード攻撃に対して脆弱ではないことを合理的に保証できます。

サイトがHSTSプリロードリストに登録されたら、アップグレードされていない（再び）ブラウザはサイトがHTTPS経由でのみロードされることを想定しているため、すべてのブラウザからサイトを戻すのはそれほど速くありません。 。