[要約] RFC 6797は、HTTP Strict Transport Security(HSTS)の仕様を定義しています。HSTSは、ウェブサイトがHTTPSを使用することを強制し、セキュリティを向上させるためのメカニズムです。目的は、ユーザーのセキュリティを保護し、中間者攻撃やデータの盗聴を防止することです。
Internet Engineering Task Force (IETF) J. Hodges
Request for Comments: 6797 PayPal
Category: Standards Track C. Jackson
ISSN: 2070-1721 Carnegie Mellon University
A. Barth
Google, Inc.
November 2012
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security(HSTS)
Abstract
概要
This specification defines a mechanism enabling web sites to declare themselves accessible only via secure connections and/or for users to be able to direct their user agent(s) to interact with given sites only over secure connections. This overall policy is referred to as HTTP Strict Transport Security (HSTS). The policy is declared by web sites via the Strict-Transport-Security HTTP response header field and/or by other means, such as user agent configuration, for example.
この仕様は、Webサイトが安全な接続を介してのみアクセス可能であることを宣言したり、ユーザーがユーザーエージェントに安全な接続を介してのみ特定のサイトと対話したりできるようにするメカニズムを定義しています。この全体的なポリシーは、HTTP Strict Transport Security(HSTS)と呼ばれます。ポリシーは、Strict-Transport-Security HTTP応答ヘッダーフィールドを介して、および/またはユーザーエージェント構成などの他の手段によって、Webサイトによって宣言されます。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6797.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6797で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction ....................................................4
1.1. Organization of This Specification .........................6
1.2. Document Conventions .......................................6
2. Overview ........................................................6
2.1. Use Cases ..................................................6
2.2. HTTP Strict Transport Security Policy Effects ..............6
2.3. Threat Model ...............................................6
2.3.1. Threats Addressed ...................................7
2.3.1.1. Passive Network Attackers ..................7
2.3.1.2. Active Network Attackers ...................7
2.3.1.3. Web Site Development and Deployment Bugs ...8
2.3.2. Threats Not Addressed ...............................8
2.3.2.1. Phishing ...................................8
2.3.2.2. Malware and Browser Vulnerabilities ........8
2.4. Requirements ...............................................9
2.4.1. Overall Requirement .................................9
2.4.1.1. Detailed Core Requirements .................9
2.4.1.2. Detailed Ancillary Requirements ...........10
3. Conformance Criteria ...........................................10
4. Terminology ....................................................11
5. HSTS Mechanism Overview ........................................13
5.1. HSTS Host Declaration .....................................13
5.2. HSTS Policy ...............................................13
5.3. HSTS Policy Storage and Maintenance by User Agents ........14
5.4. User Agent HSTS Policy Enforcement ........................14
6. Syntax .........................................................14
6.1. Strict-Transport-Security HTTP Response Header Field ......15
6.1.1. The max-age Directive ..............................16
6.1.2. The includeSubDomains Directive ....................16
6.2. Examples ..................................................16
7. Server Processing Model ........................................17
7.1. HTTP-over-Secure-Transport Request Type ...................17
7.2. HTTP Request Type .........................................18
8. User Agent Processing Model ....................................18
8.1. Strict-Transport-Security Response Header Field
Processing ................................................19
8.1.1. Noting an HSTS Host - Storage Model ................20
8.2. Known HSTS Host Domain Name Matching ......................20
8.3. URI Loading and Port Mapping ..............................21
8.4. Errors in Secure Transport Establishment ..................22
8.5. HTTP-Equiv <Meta> Element Attribute .......................22
8.6. Missing Strict-Transport-Security Response Header Field ...23
9. Constructing an Effective Request URI ..........................23
9.1. ERU Fundamental Definitions ...............................23
9.2. Determining the Effective Request URI .....................24
9.2.1. Effective Request URI Examples .....................24
10. Domain Name IDNA-Canonicalization .............................25
11. Server Implementation and Deployment Advice ...................26
11.1. Non-Conformant User Agent Considerations .................26
11.2. HSTS Policy Expiration Time Considerations ...............26
11.3. Using HSTS in Conjunction with Self-Signed Public-Key
Certificates .............................................27
11.4. Implications of includeSubDomains ........................28
11.4.1. Considerations for Offering Unsecured HTTP
Services at Alternate Ports or Subdomains of an
HSTS Host ........................................28
11.4.2. Considerations for Offering Web Applications at
Subdomains of an HSTS Host .......................29
12. User Agent Implementation Advice ..............................30
12.1. No User Recourse .........................................30
12.2. User-Declared HSTS Policy ................................30
12.3. HSTS Pre-Loaded List .....................................31
12.4. Disallow Mixed Security Context Loads ....................31
12.5. HSTS Policy Deletion .....................................31
13. Internationalized Domain Names for Applications (IDNA):
Dependency and Migration ......................................32
14. Security Considerations .......................................32
14.1. Underlying Secure Transport Considerations ...............32
14.2. Non-Conformant User Agent Implications ...................33
14.3. Ramifications of HSTS Policy Establishment Only over
Error-Free Secure Transport ..............................33
14.4. The Need for includeSubDomains ...........................34
14.5. Denial of Service ........................................35
14.6. Bootstrap MITM Vulnerability .............................36
14.7. Network Time Attacks .....................................37
14.8. Bogus Root CA Certificate Phish plus DNS Cache
Poisoning Attack .........................................37
14.9. Creative Manipulation of HSTS Policy Store ...............37
14.10. Internationalized Domain Names ..........................38
15. IANA Considerations ...........................................39
16. References ....................................................39
16.1. Normative References .....................................39
16.2. Informative References ...................................40
Appendix A. Design Decision Notes .................................44
Appendix B. Differences between HSTS Policy and Same-Origin
Policy ................................................45
Appendix C. Acknowledgments .......................................46
HTTP [RFC2616] may be used over various transports, typically the Transmission Control Protocol (TCP). However, TCP does not provide channel integrity protection, confidentiality, or secure host identification. Thus, the Secure Sockets Layer (SSL) protocol [RFC6101] and its successor, Transport Layer Security (TLS) [RFC5246] were developed in order to provide channel-oriented security and are typically layered between application protocols and TCP. [RFC2818] specifies how HTTP is layered onto TLS and defines the Uniform Resource Identifier (URI) scheme of "https" (in practice, however, HTTP user agents (UAs) typically use either TLS or SSL3, depending upon a combination of negotiation with the server and user preferences).
HTTP [RFC2616]は、さまざまなトランスポート、通常は伝送制御プロトコル(TCP)で使用できます。ただし、TCPはチャネル整合性保護、機密性、または安全なホスト識別を提供しません。したがって、Secure Sockets Layer(SSL)プロトコル[RFC6101]およびその後継であるトランスポート層セキュリティ(TLS)[RFC5246]は、チャネル指向のセキュリティを提供するために開発され、通常、アプリケーションプロトコルとTCPの間に階層化されます。 [RFC2818]は、HTTPをTLSに階層化する方法を指定し、 "https"のUniform Resource Identifier(URI)スキームを定義します(ただし、実際には、HTTPユーザーエージェント(UA)は通常、サーバーとユーザーの設定)。
UAs employ various local security policies with respect to the characteristics of their interactions with web resources, depending on (in part) whether they are communicating with a given web resource's host using HTTP or HTTP-over-Secure-Transport. For example, cookies ([RFC6265]) may be flagged as Secure. UAs are to send such Secure cookies to their addressed host only over a secure transport. This is in contrast to non-Secure cookies, which are returned to the host regardless of transport (although subject to other rules).
UAは、(部分的に)HTTPまたはHTTP-over-Secure-Transportを使用して特定のWebリソースのホストと通信しているかどうかに応じて、Webリソースとの相互作用の特性に関してさまざまなローカルセキュリティポリシーを採用します。たとえば、Cookie([RFC6265])はセキュアとしてフラグが立てられる場合があります。 UAは、セキュアなトランスポートを介してのみ、そのようなセキュアなCookieをアドレス指定されたホストに送信します。これは、トランスポートに関係なくホストに返される非セキュアCookieとは対照的です(ただし、他のルールに従います)。
UAs typically announce to their users any issues with secure connection establishment, such as being unable to validate a TLS server certificate trust chain, or if a TLS server certificate is expired, or if a TLS host's domain name appears incorrectly in the TLS server certificate (see Section 3.1 of [RFC2818]). Often, UAs enable users to elect to continue to interact with a web resource's host in the face of such issues. This behavior is sometimes referred to as "click(ing) through" security [GoodDhamijaEtAl05] [SunshineEgelmanEtAl09]; thus, it can be described as "click-through insecurity".
UAは通常、TLSサーバー証明書の信頼チェーンを検証できない、TLSサーバー証明書の有効期限が切れている、TLSホストのドメイン名がTLSサーバー証明書に正しく表示されていないなど、安全な接続確立に関する問題をユーザーに通知します( [RFC2818]のセクション3.1をご覧ください)。多くの場合、UAにより、ユーザーはこのような問題に直面してもWebリソースのホストとの対話を継続することを選択できます。この動作は、「クリックスルー」セキュリティと呼ばれることもあります[GoodDhamijaEtAl05] [SunshineEgelmanEtAl09]。したがって、「クリックスルーの不安」と表現できます。
A key vulnerability enabled by click-through insecurity is the leaking of any cookies the web resource may be using to manage a user's session. The threat here is that an attacker could obtain the cookies and then interact with the legitimate web resource while impersonating the user.
クリックスルーの不安定性によって可能になる主な脆弱性は、ユーザーのセッションを管理するためにWebリソースが使用している可能性があるCookieの漏洩です。ここでの脅威は、攻撃者がCookieを取得し、ユーザーになりすましている間に正当なWebリソースと対話する可能性があることです。
Jackson and Barth proposed an approach, in [ForceHTTPS], to enable web resources to declare that any interactions by UAs with the web resource must be conducted securely and that any issues with establishing a secure transport session are to be treated as fatal and without direct user recourse. The aim is to prevent click-through insecurity and address other potential threats.
ジャクソンとバースは、[ForceHTTPS]で、WebリソースがUAによるWebリソースとのやり取りは安全に行われる必要があり、安全なトランスポートセッションの確立に関する問題は致命的で直接的なものではないことを宣言できるようにするアプローチを提案しました。ユーザーに頼る。目的は、クリックスルーの不安を防ぎ、他の潜在的な脅威に対処することです。
This specification embodies and refines the approach proposed in [ForceHTTPS]. For example, rather than using a cookie to convey policy from a web resource's host to a UA, it defines an HTTP response header field for this purpose. Additionally, a web resource's host may declare its policy to apply to the entire domain name subtree rooted at its host name. This enables HTTP Strict Transport Security (HSTS) to protect so-called "domain cookies", which are applied to all subdomains of a given web resource's host name.
この仕様は、[ForceHTTPS]で提案されたアプローチを具体化し、改良しています。たとえば、Cookieを使用してWebリソースのホストからUAにポリシーを伝達するのではなく、この目的のためにHTTP応答ヘッダーフィールドを定義します。さらに、Webリソースのホストは、そのホスト名をルートとするドメイン名サブツリー全体に適用するポリシーを宣言する場合があります。これにより、HTTP Strict Transport Security(HSTS)は、いわゆる「ドメインCookie」を保護できます。これは、特定のWebリソースのホスト名のすべてのサブドメインに適用されます。
This specification also incorporates notions from [JacksonBarth2008] in that policy is applied on an "entire-host" basis: it applies to HTTP (only) over any TCP port of the issuing host.
この仕様には、[JacksonBarth2008]の概念が組み込まれており、ポリシーは「ホスト全体」に基づいて適用されます。これは、発行元ホストの任意のTCPポート上のHTTP(のみ)に適用されます。
Note that the policy defined by this specification is distinctly different than the "same-origin policy" defined in "The Web Origin Concept" [RFC6454]. These differences are summarized in Appendix B.
この仕様で定義されているポリシーは、「The Web Origin Concept」[RFC6454]で定義されている「same-originポリシー」とは明らかに異なることに注意してください。これらの違いは付録Bにまとめられています。
This specification begins with an overview of the use cases, policy effects, threat models, and requirements for HSTS (in Section 2). Then, Section 3 defines conformance requirements. Section 4 defines terminology relevant to this document. The HSTS mechanism itself is formally specified in Sections 5 through 15.
この仕様は、HSTSの使用例、ポリシーの影響、脅威モデル、および要件の概要から始まります(セクション2)。次に、セクション3で適合要件を定義します。セクション4では、このドキュメントに関連する用語を定義します。 HSTSメカニズム自体は、セクション5〜15で正式に指定されています。
NOTE: This is a note to the reader. These are points that should be expressly kept in mind and/or considered.
注:これは読者へのメモです。これらは、明確に心に留めておくか、考慮すべき点です。
This section discusses the use cases, summarizes the HSTS Policy, and continues with a discussion of the threat model, non-addressed threats, and derived requirements.
このセクションでは、ユースケースについて説明し、HSTSポリシーを要約し、脅威モデル、対処されていない脅威、および派生した要件について説明します。
The high-level use case is a combination of:
高レベルのユースケースは次の組み合わせです。
o Web browser user wishes to interact with various web sites (some arbitrary, some known) in a secure fashion.
o Webブラウザのユーザーは、安全な方法でさまざまなWebサイト(一部は任意、一部は既知)と対話したいと考えています。
o Web site deployer wishes to offer their site in an explicitly secure fashion for their own, as well as their users', benefit.
o Webサイトの展開担当者は、ユーザーの利益だけでなく、自分の利益のために明示的に安全な方法でサイトを提供したいと考えています。
The effects of the HSTS Policy, as applied by a conformant UA in interactions with a web resource host wielding such policy (known as an HSTS Host), are summarized as follows:
このようなポリシーを使用するWebリソースホスト(HSTSホストと呼ばれます)との相互作用で適合UAによって適用されるHSTSポリシーの効果は、次のように要約されます。
1. UAs transform insecure URI references to an HSTS Host into secure URI references before dereferencing them.
1. UAは、HSTSホストへの安全でないURI参照を、逆参照する前に安全なURI参照に変換します。
2. The UA terminates any secure transport connection attempts upon any and all secure transport errors or warnings.
2. UAは、すべてのセキュアトランスポートエラーまたは警告が発生すると、セキュアトランスポート接続の試行を終了します。
HSTS is concerned with three threat classes: passive network attackers, active network attackers, and imperfect web developers. However, it is explicitly not a remedy for two other classes of threats: phishing and malware. Threats that are addressed, as well as threats that are not addressed, are briefly discussed below.
HSTSは、パッシブネットワーク攻撃者、アクティブネットワーク攻撃者、不完全なWeb開発者の3つの脅威クラスに関係しています。ただし、他の2つのクラスの脅威、つまりフィッシングとマルウェアの対策は明確ではありません。対処されている脅威と対処されていない脅威について、以下で簡単に説明します。
Readers may wish to refer to Section 2 of [ForceHTTPS] for details as well as relevant citations.
読者は、詳細および関連する引用について、[ForceHTTPS]のセクション2を参照することをお勧めします。
When a user browses the web on a local wireless network (e.g., an 802.11-based wireless local area network) a nearby attacker can possibly eavesdrop on the user's unencrypted Internet Protocol-based connections, such as HTTP, regardless of whether or not the local wireless network itself is secured [BeckTews09]. Freely available wireless sniffing toolkits (e.g., [Aircrack-ng]) enable such passive eavesdropping attacks, even if the local wireless network is operating in a secure fashion. A passive network attacker using such tools can steal session identifiers/cookies and hijack the user's web session(s) by obtaining cookies containing authentication credentials [ForceHTTPS]. For example, there exist widely available tools, such as Firesheep (a web browser extension) [Firesheep], that enable their wielder to obtain other local users' session cookies for various web applications.
ユーザーがローカルワイヤレスネットワーク(802.11ベースのワイヤレスローカルエリアネットワークなど)でWebを閲覧すると、ローカルのローカルかどうかに関係なく、近くの攻撃者がユーザーの暗号化されていないインターネットプロトコルベースの接続(HTTPなど)を盗聴する可能性がありますワイヤレスネットワーク自体は保護されています[BeckTews09]。自由に利用できるワイヤレススニッフィングツールキット([Aircrack-ng]など)は、ローカルワイヤレスネットワークが安全に動作している場合でも、このような受動的な盗聴攻撃を可能にします。このようなツールを使用するパッシブネットワーク攻撃者は、セッションID / Cookieを盗み、認証資格情報[ForceHTTPS]を含むCookieを取得することにより、ユーザーのWebセッションを乗っ取ることができます。たとえば、Firesheep(Webブラウザー拡張)[Firesheep]のように、利用者がさまざまなWebアプリケーション用の他のローカルユーザーのセッションCookieを取得できるようにする、広く利用可能なツールが存在します。
To mitigate such threats, some web sites support, but usually do not force, access using end-to-end secure transport -- e.g., signaled through URIs constructed with the "https" scheme [RFC2818]. This can lead users to believe that accessing such services using secure transport protects them from passive network attackers. Unfortunately, this is often not the case in real-world deployments, as session identifiers are often stored in non-Secure cookies to permit interoperability with versions of the service offered over insecure transport ("Secure cookies" are those cookies containing the "Secure" attribute [RFC6265]). For example, if the session identifier for a web site (an email service, say) is stored in a non-Secure cookie, it permits an attacker to hijack the user's session if the user's UA makes a single insecure HTTP request to the site.
このような脅威を軽減するために、一部のWebサイトは、エンドツーエンドのセキュアなトランスポートを使用してアクセスをサポートしますが、通常は強制しません-たとえば、「https」スキームで構築されたURI [RFC2818]を通じて通知されます。これにより、ユーザーは、セキュリティで保護されたトランスポートを使用してそのようなサービスにアクセスすることで、パッシブネットワーク攻撃者からユーザーを保護すると信じ込むことができます。残念ながら、これは実際の展開では多くの場合当てはまりません。セッションIDは非セキュアCookieに保存され、安全でないトランスポートを介して提供されるサービスのバージョンとの相互運用性を可能にするためです(「セキュアCookie」とは、「セキュア」を含むCookieのことです属性[RFC6265])。たとえば、Webサイト(電子メールサービスなど)のセッション識別子が非セキュアCookieに格納されている場合、ユーザーのUAがサイトに対して安全でないHTTPリクエストを1つ作成すると、攻撃者がユーザーのセッションを乗っ取ることができます。
A determined attacker can mount an active attack, either by impersonating a user's DNS server or, in a wireless network, by spoofing network frames or offering a similarly named evil twin access point. If the user is behind a wireless home router, an attacker can attempt to reconfigure the router using default passwords and other vulnerabilities. Some sites, such as banks, rely on end-to-end secure transport to protect themselves and their users from such active attackers. Unfortunately, browsers allow their users to easily opt out of these protections in order to be usable for sites that incorrectly deploy secure transport, for example by generating and self-signing their own certificates (without also distributing their certification authority (CA) certificate to their users' browsers).
悪意のある攻撃者は、ユーザーのDNSサーバーになりすまして、またはワイヤレスネットワークでネットワークフレームをスプーフィングするか、類似した名前のevil twinアクセスポイントを提供することにより、アクティブな攻撃を仕掛けることができます。ユーザーがワイヤレスホームルーターの背後にいる場合、攻撃者はデフォルトのパスワードやその他の脆弱性を使用してルーターを再構成する可能性があります。銀行などの一部のサイトは、エンドツーエンドの安全なトランスポートに依存して、このようなアクティブな攻撃者から自分自身とユーザーを保護しています。残念ながら、ブラウザはユーザーがこれらの保護を簡単にオプトアウトできるようにします。たとえば、独自の証明書を生成して自己署名することで(認証局(CA)証明書を配布することなく)、セキュアなトランスポートを誤って展開するサイトで使用できるようになります。ユーザーのブラウザ)。
The security of an otherwise uniformly secure site (i.e., all of its content is materialized via "https" URIs) can be compromised completely by an active attacker exploiting a simple mistake, such as the loading of a cascading style sheet or a SWF (Shockwave Flash) movie over an insecure connection (both cascading style sheets and SWF movies can script the embedding page, to the surprise of many web developers, plus some browsers do not issue so-called "mixed content warnings" when SWF files are embedded via insecure connections). Even if the site's developers carefully scrutinize their login page for "mixed content", a single insecure embedding anywhere on the overall site compromises the security of their login page because an attacker can script (i.e., control) the login page by injecting code (e.g., a script) into another, insecurely loaded, site page.
他の点では一様に安全なサイト(つまり、そのすべてのコンテンツが「https」URIを介して具体化される)のセキュリティは、カスケードスタイルシートまたはSWF(Shockwave)のロードなどの単純なミスを悪用するアクティブな攻撃者によって完全に危険にさらされる可能性があります。 Flash)安全ではない接続を介したムービー(カスケードスタイルシートとSWFムービーの両方が埋め込みページをスクリプト化できるため、多くのWeb開発者が驚かされます。さらに、一部のブラウザーは、安全でない方法でSWFファイルが埋め込まれている場合、いわゆる「混合コンテンツ警告」を発行しません。接続)。サイトの開発者がログインページで「混合コンテンツ」を注意深く精査したとしても、攻撃者がコードを挿入することでログインページをスクリプト化(つまり制御)できるため、サイト全体のどこかに1つの安全でない埋め込みがログインページのセキュリティを危険にさらします(例: 、スクリプト)を別の安全に読み込まれていないサイトページに挿入します。
NOTE: "Mixed content" as used above (see also Section 5.3 in [W3C.REC-wsc-ui-20100812]) refers to the notion termed "mixed security context" in this specification and should not be confused with the same "mixed content" term used in the context of markup languages such as XML and HTML.
注:上記で使用されている「混合コンテンツ」([W3C.REC-wsc-ui-20100812]のセクション5.3も参照)は、この仕様で「混合セキュリティコンテキスト」と呼ばれる概念を指し、同じ「混合コンテンツ」と混同しないでください。コンテンツ」という用語は、XMLやHTMLなどのマークアップ言語のコンテキストで使用されます。
Phishing attacks occur when an attacker solicits authentication credentials from the user by hosting a fake site located on a different domain than the real site, perhaps driving traffic to the fake site by sending a link in an email message. Phishing attacks can be very effective because users find it difficult to distinguish the real site from a fake site. HSTS is not a defense against phishing per se; rather, it complements many existing phishing defenses by instructing the browser to protect session integrity and long-lived authentication tokens [ForceHTTPS].
フィッシング攻撃は、攻撃者が実際のサイトとは異なるドメインにある偽のサイトをホストし、メールメッセージでリンクを送信して偽のサイトへのトラフィックを誘導することにより、ユーザーから認証資格情報を要求した場合に発生します。ユーザーは実際のサイトと偽のサイトを区別することが難しいため、フィッシング攻撃は非常に効果的です。 HSTSはフィッシング自体に対する防御ではありません。むしろ、セッションの整合性と長期間有効な認証トークンを保護するようブラウザに指示することで、多くの既存のフィッシング防御を補完します[ForceHTTPS]。
Because HSTS is implemented as a browser security mechanism, it relies on the trustworthiness of the user's system to protect the session. Malicious code executing on the user's system can compromise a browser session, regardless of whether HSTS is used.
HSTSはブラウザのセキュリティメカニズムとして実装されているため、ユーザーのシステムの信頼性に依存してセッションを保護します。ユーザーのシステムで悪意のあるコードが実行されると、HSTSが使用されているかどうかに関係なく、ブラウザセッションが侵害される可能性があります。
This section identifies and enumerates various requirements derived from the use cases and the threats discussed above and also lists the detailed core requirements that HTTP Strict Transport Security addresses, as well as ancillary requirements that are not directly addressed.
このセクションでは、前述のユースケースと脅威から派生したさまざまな要件を特定して列挙し、HTTP Strict Transport Securityが対処する詳細なコア要件と、直接対処されない付随的な要件も示します。
o Minimize, for web browser users and web site deployers, the risks that are derived from passive and active network attackers, web site development and deployment bugs, and insecure user actions.
o WebブラウザーのユーザーとWebサイトの展開者にとって、パッシブおよびアクティブなネットワーク攻撃者、Webサイトの開発と展開のバグ、および安全でないユーザーアクションから派生するリスクを最小限に抑えます。
These core requirements are derived from the overall requirement and are addressed by this specification.
これらの中核的な要件は、全体的な要件から導き出され、この仕様によって対処されます。
1. Web sites need to be able to declare to UAs that they should be accessed using a strict security policy.
1. Webサイトは、厳密なセキュリティポリシーを使用してアクセスする必要があることをUAに宣言できる必要があります。
2. Web sites need to be able to instruct UAs that contact them insecurely to do so securely.
2. Webサイトは、安全に接続するために安全に接続しないUAに指示できる必要があります。
3. UAs need to retain persistent data about web sites that signal strict security policy enablement, for time spans declared by the web sites. Additionally, UAs need to cache the "freshest" strict security policy information, in order to allow web sites to update the information.
3. UAは、Webサイトによって宣言された期間、厳格なセキュリティポリシーの有効化を通知するWebサイトに関する永続的なデータを保持する必要があります。さらに、UAは、Webサイトが情報を更新できるようにするために、「最新」の厳密なセキュリティポリシー情報をキャッシュする必要があります。
4. UAs need to rewrite all insecure UA "http" URI loads to use the "https" secure scheme for those web sites for which secure policy is enabled.
4. 安全なポリシーが有効になっているWebサイトで「https」の安全なスキームを使用するには、UAはすべての安全でないUAの「http」URIロードを書き換える必要があります。
5. Web site administrators need to be able to signal strict security policy application to subdomains of higher-level domains for which strict security policy is enabled, and UAs need to enforce such policy.
5. Webサイト管理者は、厳格なセキュリティポリシーが有効になっている上位レベルドメインのサブドメインに厳格なセキュリティポリシーアプリケーションを通知できる必要があり、UAはそのようなポリシーを適用する必要があります。
For example, both example.com and foo.example.com could set policy for bar.foo.example.com.
たとえば、example.comとfoo.example.comの両方で、bar.foo.example.comのポリシーを設定できます。
6. UAs need to disallow security policy application to peer domains, and/or higher-level domains, by domains for which strict security policy is enabled.
6. UAは、厳密なセキュリティポリシーが有効になっているドメインによる、ピアドメインや上位レベルドメインへのセキュリティポリシーの適用を禁止する必要があります。
For example, neither bar.foo.example.com nor foo.example.com can set policy for example.com, nor can bar.foo.example.com set policy for foo.example.com. Also, foo.example.com cannot set policy for sibling.example.com.
たとえば、bar.foo.example.comもfoo.example.comもexample.comのポリシーを設定できず、bar.foo.example.comもfoo.example.comのポリシーを設定できません。また、foo.example.comはsibling.example.comのポリシーを設定できません。
7. UAs need to prevent users from "clicking through" security warnings. Halting connection attempts in the face of secure transport exceptions is acceptable. See also Section 12.1 ("No User Recourse").
7. UAは、ユーザーがセキュリティ警告を「クリックスルー」できないようにする必要があります。安全なトランスポート例外が発生した場合に接続試行を停止することは許容されます。セクション12.1(「ユーザーに頼らない」)も参照してください。
NOTE: A means for uniformly securely meeting the first core requirement above is not specifically addressed by this specification (see Section 14.6 ("Bootstrap MITM Vulnerability")). It may be addressed by a future revision of this specification or some other specification. Note also that there are means by which UA implementations may more fully meet the first core requirement; see Section 12 ("User Agent Implementation Advice").
注:上記の最初のコア要件を均一に安全に満たすための手段は、この仕様では特に取り上げられていません(セクション14.6(「Bootstrap MITM脆弱性」)を参照)。この仕様またはその他の仕様の将来の改訂によって対処される可能性があります。また、UA実装が最初のコア要件をより完全に満たすことができる手段があることにも注意してください。セクション12(「ユーザーエージェントの実装に関するアドバイス」)を参照してください。
These ancillary requirements are also derived from the overall requirement. They are not normatively addressed in this specification but could be met by UA implementations at their implementor's discretion, although meeting these requirements may be complex.
これらの補助的な要件は、全体的な要件からも導き出されます。これらはこの仕様では規範的に扱われていませんが、実装者の裁量でUA実装によって満たすことができますが、これらの要件を満たすことは複雑になる可能性があります。
1. Disallow "mixed security context" loads (see Section 2.3.1.3).
1. 「混合セキュリティコンテキスト」のロードを禁止します(セクション2.3.1.3を参照)。
2. Facilitate user declaration of web sites for which strict security policy is enabled, regardless of whether the sites signal HSTS Policy.
2. 厳密なセキュリティポリシーが有効になっているWebサイトのユーザー宣言を容易にします。サイトがHSTSポリシーを通知しているかどうかは関係ありません。
This specification is written for hosts and user agents.
この仕様は、ホストおよびユーザーエージェント向けに記述されています。
A conformant host is one that implements all the requirements listed in this specification that are applicable to hosts.
適合ホストは、この仕様にリストされている、ホストに適用可能なすべての要件を実装するホストです。
A conformant user agent is one that implements all the requirements listed in this specification that are applicable to user agents.
適合ユーザーエージェントは、ユーザーエージェントに適用可能な、この仕様にリストされているすべての要件を実装するものです。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
Terminology is defined in this section.
このセクションでは、用語を定義します。
ASCII case-insensitive comparison:
ASCIIの大文字と小文字を区別しない比較:
means comparing two strings exactly, codepoint for codepoint, except that the characters in the range U+0041 .. U+005A (i.e., LATIN CAPITAL LETTER A to LATIN CAPITAL LETTER Z) and the corresponding characters in the range U+0061 .. U+007A (i.e., LATIN SMALL LETTER A to LATIN SMALL LETTER Z) are considered to also match. See [Unicode] for details.
は、2つの文字列をコードポイントごとに正確に比較することを意味します。ただし、U + 0041 .. U + 005A(つまり、ラテン大文字Aからラテン大文字Zまで)の範囲の文字と、U + 0061 ..の範囲の対応する文字は除きます。 U + 007A(つまり、ラテン小文字Aからラテン小文字Zまで)も一致すると見なされます。詳細については、[Unicode]を参照してください。
codepoint:
コードポイント:
is a colloquial contraction of Code Point, which is any value in the Unicode codespace; that is, the range of integers from 0 to 10FFFF(hex) [Unicode].
Unicodeのコードスペース内の任意の値である、コードポイントの口語的な収縮です。つまり、0から10FFFF(hex)[Unicode]までの整数の範囲です。
domain name:
ドメイン名:
is also referred to as "DNS name" and is defined in [RFC1035] to be represented outside of the DNS protocol itself (and implementations thereof) as a series of labels separated by dots, e.g., "example.com" or "yet.another.example.org". In the context of this specification, domain names appear in that portion of a URI satisfying the reg-name production in "Appendix A. Collected ABNF for URI" in [RFC3986], and the host component from the Host HTTP header field production in Section 14.23 of [RFC2616].
「DNS名」とも呼ばれ、[RFC1035]で定義されており、DNSプロトコル自体(およびその実装)の外部で、ドットで区切られた一連のラベル(「example.com」や「まだ」など)として表されます。 another.example.org」。この仕様の文脈では、ドメイン名は、[RFC3986]の「付録A.収集されたURIのABNF」のreg-nameプロダクション、およびセクションのHost HTTPヘッダーフィールドプロダクションのホストコンポーネントを満たすURIのその部分に表示されます。 [RFC2616]の14.23。
NOTE: The domain names appearing in actual URI instances and matching the aforementioned production components may or may not be a fully qualified domain name.
注:実際のURIインスタンスに表示され、前述の本番コンポーネントと一致するドメイン名は、完全修飾ドメイン名である場合とそうでない場合があります。
domain name label:
ドメイン名ラベル:
is that portion of a domain name appearing "between the dots",
i.e., consider "foo.example.com": "foo", "example", and "com" are
all domain name labels.
Effective Request URI:
有効なリクエストURI:
is a URI, identifying the target resource, that can be inferred by an HTTP host for any given HTTP request it receives. Such inference is necessary because HTTP requests often do not contain a complete "absolute" URI identifying the target resource. See Section 9 ("Constructing an Effective Request URI").
ターゲットリソースを識別するURIであり、受信した特定のHTTPリクエストに対してHTTPホストによって推測できます。多くの場合、HTTPリクエストにはターゲットリソースを識別する完全な「絶対」URIが含まれていないため、このような推論が必要です。セクション9(「効果的なリクエストURIの構築」)を参照してください。
HTTP Strict Transport Security:
HTTP Strict Transport Security:
is the overall name for the combined UA- and server-side security policy defined by this specification.
この仕様で定義されている、UA側とサーバー側のセキュリティポリシーを組み合わせた全体的な名前です。
HTTP Strict Transport Security Host:
HTTP Strict Transport Security Host:
is a conformant host implementing the HTTP server aspects of the HSTS Policy. This means that an HSTS Host returns the "Strict-Transport-Security" HTTP response header field in its HTTP response messages sent over secure transport.
HSTSポリシーのHTTPサーバーの側面を実装する適合ホストです。これは、HSTSホストがセキュアなトランスポートを介して送信されたHTTP応答メッセージで「Strict-Transport-Security」HTTP応答ヘッダーフィールドを返すことを意味します。
HTTP Strict Transport Security Policy:
HTTP Strict Transport Security Policy:
is the name of the combined overall UA- and server-side facets of the behavior defined in this specification.
は、この仕様で定義されている動作のUA側とサーバー側の組み合わせた全体の名前です。
HSTS:
HSTS:
See HTTP Strict Transport Security.
HTTP Strict Transport Securityを参照してください。
HSTS Host:
HSTSホスト:
See HTTP Strict Transport Security Host.
HTTP Strict Transport Security Hostを参照してください。
HSTS Policy:
HSTSポリシー:
See HTTP Strict Transport Security Policy.
HTTP Strict Transport Security Policyを参照してください。
Known HSTS Host:
既知のHSTSホスト:
is an HSTS Host for which the UA has an HSTS Policy in effect; i.e., the UA has noted this host as a Known HSTS Host. See Section 8.1.1 ("Noting an HSTS Host - Storage Model") for particulars.
UAがHSTSポリシーを有効にしているHSTSホストです。つまり、UAはこのホストを既知のHSTSホストとして認識しています。詳細については、セクション8.1.1(「HSTSホストへの注意-ストレージモデル」)を参照してください。
Local policy:
ローカルポリシー:
comprises policy rules that deployers specify and that are often manifested as configuration settings.
デプロイヤーが指定するポリシールールで構成され、多くの場合、構成設定として明示されます。
MITM:
MITM:
is an acronym for "man in the middle". See "man-in-the-middle attack" in [RFC4949].
「man in the middle」の頭字語です。 [RFC4949]の「man-in-the-middle攻撃」を参照してください。
Request URI:
リクエストURI:
is the URI used to cause a UA to issue an HTTP request message. See also "Effective Request URI".
UAにHTTPリクエストメッセージを発行させるために使用されるURIです。 「有効なリクエストURI」も参照してください。
UA:
WP:
is an acronym for "user agent". For the purposes of this specification, a UA is an HTTP client application typically actively manipulated by a user [RFC2616].
「ユーザーエージェント」の頭字語です。この仕様の目的のために、UAは通常ユーザーによってアクティブに操作されるHTTPクライアントアプリケーションです[RFC2616]。
unknown HSTS Host:
不明なHSTSホスト:
is an HSTS Host that the user agent has not noted.
ユーザーエージェントが言及していないHSTSホストです。
This section provides an overview of the mechanism by which an HSTS Host conveys its HSTS Policy to UAs and how UAs process the HSTS Policies received from HSTS Hosts. The mechanism details are specified in Sections 6 through 15.
このセクションでは、HSTSホストがHSTSポリシーをUAに伝達するメカニズムの概要と、UAがHSTSホストから受信したHSTSポリシーを処理する方法について説明します。メカニズムの詳細は、セクション6〜15で指定されています。
An HTTP host declares itself an HSTS Host by issuing to UAs an HSTS Policy, which is represented by and conveyed via the Strict-Transport-Security HTTP response header field over secure transport (e.g., TLS). Upon error-free receipt and processing of this header by a conformant UA, the UA regards the host as a Known HSTS Host.
HTTPホストは、HSTSポリシーをUAに発行することにより、HSTSホストを宣言します。HSTSポリシーは、セキュアなトランスポート(TLSなど)を介してStrict-Transport-Security HTTP応答ヘッダーフィールドによって表され、伝えられます。適合UAがこのヘッダーをエラーなしで受信して処理すると、UAはホストを既知のHSTSホストと見なします。
An HSTS Policy directs UAs to communicate with a Known HSTS Host only over secure transport and specifies policy retention time duration.
HSTSポリシーは、安全なトランスポートを介してのみ既知のHSTSホストと通信するようにUAに指示し、ポリシーの保持期間を指定します。
HSTS Policy explicitly overrides the UA processing of URI references, user input (e.g., via the "location bar"), or other information that, in the absence of HSTS Policy, might otherwise cause UAs to communicate insecurely with the Known HSTS Host.
HSTSポリシーは、URI参照、ユーザー入力(「ロケーションバー」など)のUA処理、またはHSTSポリシーがない場合にUAが既知のHSTSホストと安全に通信できない原因となるその他の情報を明示的に上書きします。
An HSTS Policy may contain an optional directive -- includeSubDomains -- specifying that this HSTS Policy also applies to any hosts whose domain names are subdomains of the Known HSTS Host's domain name.
HSTSポリシーには、オプションのディレクティブincludeSubDomainsを含めることができます。このHSTSポリシーは、ドメイン名が既知のHSTSホストのドメイン名のサブドメインであるホストにも適用されることを指定します。
UAs store and index HSTS Policies based strictly upon the domain names of the issuing HSTS Hosts.
UAは、発行元のHSTSホストのドメイン名に厳密に基づいてHSTSポリシーを格納およびインデックス付けします。
This means that UAs will maintain the HSTS Policy of any given HSTS Host separately from any HSTS Policies issued by any other HSTS Hosts whose domain names are superdomains or subdomains of the given HSTS Host's domain name. Only the given HSTS Host can update or can cause deletion of its issued HSTS Policy. It accomplishes this by sending Strict-Transport-Security HTTP response header fields to UAs with new values for policy time duration and subdomain applicability. Thus, UAs cache the "freshest" HSTS Policy information on behalf of an HSTS Host. Specifying a zero time duration signals the UA to delete the HSTS Policy (including any asserted includeSubDomains directive) for that HSTS Host. See Section 8.1 ("Strict-Transport-Security Response Header Field Processing") for details. Additionally, Section 6.2 presents examples of Strict-Transport-Security HTTP response header fields.
つまり、UAは、ドメイン名が特定のHSTSホストのドメイン名のスーパードメインまたはサブドメインである他のHSTSホストによって発行されたHSTSポリシーとは別に、特定のHSTSホストのHSTSポリシーを維持します。指定されたHSTSホストのみが、発行されたHSTSポリシーを更新または削除できます。これは、Strict-Transport-Security HTTP応答ヘッダーフィールドをUAに送信し、ポリシーの継続時間とサブドメインの適用性の新しい値を指定してこれを実現します。したがって、UAはHSTSホストに代わって「最新の」HSTSポリシー情報をキャッシュします。ゼロの期間を指定すると、そのHSTSホストのHSTSポリシー(表明されたincludeSubDomainsディレクティブを含む)を削除するようにUAに通知します。詳細については、セクション8.1(「Strict-Transport-Security応答ヘッダーフィールドの処理」)を参照してください。さらに、セクション6.2では、Strict-Transport-Security HTTP応答ヘッダーフィールドの例を示します。
When establishing an HTTP connection to a given host, however instigated, the UA examines its cache of Known HSTS Hosts to see if there are any with domain names that are superdomains of the given host's domain name. If any are found, and of those if any have the includeSubDomains directive asserted, then HSTS Policy applies to the given host. Otherwise, HSTS Policy applies to the given host only if the given host is itself known to the UA as an HSTS Host. See Section 8.3 ("URI Loading and Port Mapping") for details.
与えられたホストへのHTTP接続を確立するとき、UAは既知のHSTSホストのキャッシュを調べて、特定のホストのドメイン名のスーパードメインであるドメイン名を持つものがあるかどうかを確認します。見つかった場合、およびincludeSubDomainsディレクティブがアサートされている場合は、HSTSポリシーが特定のホストに適用されます。それ以外の場合、指定されたホスト自体がHSTSホストとしてUAに認識されている場合にのみ、HSTSポリシーが指定されたホストに適用されます。詳細については、セクション8.3(「URIロードとポートマッピング」)を参照してください。
This section defines the syntax of the Strict-Transport-Security HTTP response header field and its directives, and presents some examples.
このセクションでは、Strict-Transport-Security HTTP応答ヘッダーフィールドとそのディレクティブの構文を定義し、いくつかの例を示します。
Section 7 ("Server Processing Model") then details how hosts employ this header field to declare their HSTS Policy, and Section 8 ("User Agent Processing Model") details how user agents process the header field and apply the HSTS Policy.
セクション7(「サーバー処理モデル」)では、ホストがこのヘッダーフィールドを使用してHSTSポリシーを宣言する方法を詳しく説明し、セクション8(「ユーザーエージェント処理モデル」)では、ユーザーエージェントがヘッダーフィールドを処理してHSTSポリシーを適用する方法を詳しく説明します。
The Strict-Transport-Security HTTP response header field (STS header field) indicates to a UA that it MUST enforce the HSTS Policy in regards to the host emitting the response message containing this header field.
Strict-Transport-Security HTTP応答ヘッダーフィールド(STSヘッダーフィールド)は、このヘッダーフィールドを含む応答メッセージを送信するホストに関してHSTSポリシーを適用する必要があることをUAに示します。
The ABNF (Augmented Backus-Naur Form) syntax for the STS header field is given below. It is based on the Generic Grammar defined in Section 2 of [RFC2616] (which includes a notion of "implied linear whitespace", also known as "implied *LWS").
STSヘッダーフィールドのABNF(Augmented Backus-Naur Form)構文を以下に示します。これは、[RFC2616]のセクション2で定義されている一般文法に基づいています(「暗黙の線形空白」、「暗黙の* LWS」とも呼ばれます)。
Strict-Transport-Security = "Strict-Transport-Security" ":"
[ directive ] *( ";" [ directive ] )
directive = directive-name [ "=" directive-value ] directive-name = token directive-value = token | quoted-string
ディレクティブ=ディレクティブ名["="ディレクティブ値]ディレクティブ名=トークンディレクティブ値=トークン|引用文字列
where:
ただし:
token = <token, defined in [RFC2616], Section 2.2>
quoted-string = <quoted-string, defined in [RFC2616], Section 2.2>
The two directives defined in this specification are described below. The overall requirements for directives are:
この仕様で定義されている2つのディレクティブについて、以下で説明します。ディレクティブの全体的な要件は次のとおりです。
1. The order of appearance of directives is not significant.
1. ディレクティブの出現順序は重要ではありません。
2. All directives MUST appear only once in an STS header field. Directives are either optional or required, as stipulated in their definitions.
2. すべてのディレクティブは、STSヘッダーフィールドに1回だけ出現する必要があります。ディレクティブは、その定義で規定されているように、オプションまたは必須です。
3. Directive names are case-insensitive.
3. ディレクティブ名は大文字と小文字を区別しません。
4. UAs MUST ignore any STS header field containing directives, or other header field value data, that does not conform to the syntax defined in this specification.
4. UAは、この仕様で定義されている構文に準拠していないディレクティブやその他のヘッダーフィールド値データを含むSTSヘッダーフィールドを無視する必要があります。
5. If an STS header field contains directive(s) not recognized by the UA, the UA MUST ignore the unrecognized directives, and if the STS header field otherwise satisfies the above requirements (1 through 4), the UA MUST process the recognized directives.
5. STSヘッダーフィールドにUAで認識されないディレクティブが含まれている場合、UAは認識されないディレクティブを無視する必要があります。また、STSヘッダーフィールドが上記の要件(1〜4)を満たさない場合、UAは認識されたディレクティブを処理する必要があります。
Additional directives extending the semantic functionality of the STS header field can be defined in other specifications, with a registry (having an IANA policy definition of IETF Review [RFC5226]) defined for them at such time.
STSヘッダーフィールドのセマンティック機能を拡張する追加のディレクティブを他の仕様で定義できます。その際、レジストリ(IETFレビュー[RFC5226]のIANAポリシー定義を持つ)が定義されています。
NOTE: Such future directives will be ignored by UAs implementing only this specification, as well as by generally non-conforming UAs. See Section 14.2 ("Non-Conformant User Agent Implications") for further discussion.
注:このような将来のディレクティブは、この仕様のみを実装しているUA、および一般に非準拠のUAによって無視されます。詳細については、セクション14.2(「非適合ユーザーエージェントの影響」)を参照してください。
The REQUIRED "max-age" directive specifies the number of seconds, after the reception of the STS header field, during which the UA regards the host (from whom the message was received) as a Known HSTS Host. See also Section 8.1.1 ("Noting an HSTS Host - Storage Model"). The delta-seconds production is specified in [RFC2616].
必須の「max-age」ディレクティブは、STSヘッダーフィールドの受信後、UAがホスト(メッセージの送信元)を既知のHSTSホストと見なす秒数を指定します。セクション8.1.1(「HSTSホストの通知-ストレージモデル」)も参照してください。デルタ秒の生成は[RFC2616]で指定されています。
The syntax of the max-age directive's REQUIRED value (after quoted-string unescaping, if necessary) is defined as:
max-ageディレクティブのREQUIRED値の構文(必要に応じて引用符付き文字列をエスケープ解除した後)は、次のように定義されます。
max-age-value = delta-seconds
max-age-value =デルタ秒
delta-seconds = <1*DIGIT, defined in [RFC2616], Section 3.3.2>
NOTE: A max-age value of zero (i.e., "max-age=0") signals the UA to cease regarding the host as a Known HSTS Host, including the includeSubDomains directive (if asserted for that HSTS Host). See also Section 8.1 ("Strict-Transport-Security Response Header Field Processing").
注:max-age値がゼロ(つまり、「max-age = 0」)の場合、UAはホストを既知のHSTSホストと見なし、includeSubDomainsディレクティブを含みます(そのHSTSホストに対してアサートされている場合)。セクション8.1(「Strict-Transport-Security Responseヘッダーフィールドの処理」)も参照してください。
The OPTIONAL "includeSubDomains" directive is a valueless directive which, if present (i.e., it is "asserted"), signals the UA that the HSTS Policy applies to this HSTS Host as well as any subdomains of the host's domain name.
オプションの「includeSubDomains」ディレクティブは、存在しない場合(つまり、「アサートされる」場合)、HSTSポリシーがこのHSTSホストおよびホストのドメイン名のサブドメインに適用されることをUAに通知する、値のないディレクティブです。
The HSTS header field below stipulates that the HSTS Policy is to remain in effect for one year (there are approximately 31536000 seconds in a year), and the policy applies only to the domain of the HSTS Host issuing it:
以下のHSTSヘッダーフィールドは、HSTSポリシーが1年間有効であることを規定しており(1年間に約31536000秒あります)、ポリシーはそれを発行するHSTSホストのドメインにのみ適用されます。
Strict-Transport-Security: max-age=31536000
厳格な輸送セキュリティ:max-age = 31536000
The HSTS header field below stipulates that the HSTS Policy is to remain in effect for approximately six months and that the policy applies to the domain of the issuing HSTS Host and all of its subdomains:
以下のHSTSヘッダーフィールドは、HSTSポリシーが約6か月間有効であること、およびポリシーが発行元のHSTSホストのドメインとそのすべてのサブドメインに適用されることを規定しています。
Strict-Transport-Security: max-age=15768000 ; includeSubDomains
The max-age directive value can optionally be quoted:
max-ageディレクティブ値はオプションで引用できます:
Strict-Transport-Security: max-age="31536000"
厳格な輸送セキュリティ:max-age = "31536000"
The HSTS header field below indicates that the UA must delete the entire HSTS Policy associated with the HSTS Host that sent the header field:
以下のHSTSヘッダーフィールドは、UAがヘッダーフィールドを送信したHSTSホストに関連付けられたHSTSポリシー全体を削除する必要があることを示しています。
Strict-Transport-Security: max-age=0
Strict-Transport-Security:max-age = 0
The HSTS header field below has exactly the same effect as the one immediately above because the includeSubDomains directive's presence in the HSTS header field is ignored when max-age is zero:
以下のHSTSヘッダーフィールドは、max-ageがゼロの場合、HSTSヘッダーフィールド内のincludeSubDomainsディレクティブの存在が無視されるため、直前のフィールドとまったく同じ効果があります。
Strict-Transport-Security: max-age=0; includeSubDomains
This section describes the processing model that HSTS Hosts implement. The model comprises two facets: the first being the processing rules for HTTP request messages received over a secure transport (TLS [RFC5246] or SSL [RFC6101]; see also Section 14.1 ("Underlying Secure Transport Considerations")), and the second being the processing rules for HTTP request messages received over non-secure transports, such as TCP.
このセクションでは、HSTSホストが実装する処理モデルについて説明します。モデルは2つのファセットで構成されます。1つ目はセキュアトランスポート(TLS [RFC5246]またはSSL [RFC6101]、セクション14.1(「基になるセキュアトランスポートの考慮事項」)も参照)を介して受信したHTTPリクエストメッセージの処理ルール、2つ目です。 TCPなどの非セキュアなトランスポートを介して受信されたHTTP要求メッセージの処理ルール。
When replying to an HTTP request that was conveyed over a secure transport, an HSTS Host SHOULD include in its response message an STS header field that MUST satisfy the grammar specified above in Section 6.1 ("Strict-Transport-Security HTTP Response Header Field"). If an STS header field is included, the HSTS Host MUST include only one such header field.
安全なトランスポートを介して伝えられたHTTPリクエストに応答するとき、HSTSホストは、6.1節で指定された文法(「Strict-Transport-Security HTTP応答ヘッダーフィールド」)を満たさなければならないSTSヘッダーフィールドを応答メッセージに含める必要があります(SHOULD)。 。 STSヘッダーフィールドが含まれている場合、HSTSホストはそのようなヘッダーフィールドを1つだけ含める必要があります。
Establishing a given host as a Known HSTS Host, in the context of a given UA, MAY be accomplished over HTTP, which is in turn running over secure transport, by correctly returning (per this specification) at least one valid STS header field to the UA. Other mechanisms, such as a client-side pre-loaded Known HSTS Host list, MAY also be used; e.g., see Section 12 ("User Agent Implementation Advice").
特定のホストを既知のHSTSホストとして確立するには、特定のUAのコンテキストで、少なくとも1つの有効なSTSヘッダーフィールドを(この仕様に従って)正しく返すことにより、HTTPを介して実行できます。 UA。クライアント側のプリロードされた既知のHSTSホストリストなどの他のメカニズムも使用できます。たとえば、セクション12(「ユーザーエージェントの実装に関するアドバイス」)を参照してください。
NOTE: Including the STS header field is stipulated as a "SHOULD" in order to accommodate various server- and network-side caches and load-balancing configurations where it may be difficult to uniformly emit STS header fields on behalf of a given HSTS Host.
注:STSヘッダーフィールドを含めることは、特定のHSTSホストに代わってSTSヘッダーフィールドを均一に発行することが難しい場合があるさまざまなサーバー側およびネットワーク側のキャッシュと負荷分散構成に対応するために、「SHOULD」として規定されています。
If an HSTS Host receives an HTTP request message over a non-secure transport, it SHOULD send an HTTP response message containing a status code indicating a permanent redirect, such as status code 301 (Section 10.3.2 of [RFC2616]), and a Location header field value containing either the HTTP request's original Effective Request URI (see Section 9 ("Constructing an Effective Request URI")) altered as necessary to have a URI scheme of "https", or a URI generated according to local policy with a URI scheme of "https".
HSTSホストは、非セキュアなトランスポートを介してHTTPリクエストメッセージを受信すると、ステータスコード301([RFC2616]のセクション10.3.2)などの永続的なリダイレクトを示すステータスコードを含むHTTP応答メッセージを送信する必要があります(SHOULD)。 HTTPリクエストの元の有効なリクエストURI(セクション9(「有効なリクエストURIの構築」を参照)を参照)を含むロケーションヘッダーフィールドの値。URIスキームが「https」になるように変更されているか、またはローカルポリシーに従って生成されたURIに「https」のURIスキーム。
NOTE: The above behavior is a "SHOULD" rather than a "MUST" due to:
注:上記の動作は、次の理由により、「必須」ではなく「SHOULD」です。
* Risks in server-side non-secure-to-secure redirects [OWASP-TLSGuide].
* サーバー側の非セキュアからセキュアへのリダイレクトのリスク[OWASP-TLSGuide]。
* Site deployment characteristics. For example, a site that incorporates third-party components may not behave correctly when doing server-side non-secure-to-secure redirects in the case of being accessed over non-secure transport but does behave correctly when accessed uniformly over secure transport. The latter is the case given an HSTS-capable UA that has already noted the site as a Known HSTS Host (by whatever means, e.g., prior interaction or UA configuration).
* サイト展開の特性。たとえば、サードパーティのコンポーネントを組み込んだサイトは、非セキュアなトランスポートを介してアクセスされる場合にサーバー側の非セキュアなセキュアなリダイレクトを行うと正しく動作しないことがありますが、セキュアなトランスポートを介して均一にアクセスされると正しく動作します。後者は、サイトを既知のHSTSホストとして既に認識しているHSTS対応のUAが与えられた場合です(たとえば、以前のやり取りやUAの構成など)。
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.
HSTSホストは、非セキュアなトランスポートを介して伝達されるHTTP応答にSTSヘッダーフィールドを含めてはなりません(MUST NOT)。
This section describes the HTTP Strict Transport Security processing model for UAs. There are several facets to the model, enumerated by the following subsections.
このセクションでは、UAのHTTP Strict Transport Security処理モデルについて説明します。モデルにはいくつかのファセットがあり、以下のサブセクションで列挙されています。
This processing model assumes that the UA implements IDNA2008 [RFC5890], or possibly IDNA2003 [RFC3490], as noted in Section 13 ("Internationalized Domain Names for Applications (IDNA): Dependency and Migration"). It also assumes that all domain names manipulated in this specification's context are already IDNA-canonicalized as outlined in Section 10 ("Domain Name IDNA-Canonicalization") prior to the processing specified in this section.
この処理モデルは、セクション13(「アプリケーションの国際化ドメイン名(IDNA):依存関係と移行」)に記載されているように、UAがIDNA2008 [RFC5890]、または場合によってはIDNA2003 [RFC3490]を実装することを前提としています。また、このセクションで指定された処理の前に、この仕様のコンテキストで操作されるすべてのドメイン名がセクション10(「ドメイン名IDNA正規化」)で概説されているようにIDNA正規化されていることも前提としています。
NOTE: [RFC3490] is referenced due to its ongoing relevance to actual deployments for the foreseeable future.
注:[RFC3490]は、近い将来に実際の展開に継続的に関連するため、参照されています。
The above assumptions mean that this processing model also specifically assumes that appropriate IDNA and Unicode validations and character list testing have occurred on the domain names, in conjunction with their IDNA-canonicalization, prior to the processing specified in this section. See the IDNA-specific security considerations in Section 14.10 ("Internationalized Domain Names") for rationale and further details.
上記の仮定は、この処理モデルが、適切なIDNAおよびUnicodeの検証と文字リストのテストが、このセクションで指定された処理の前に、IDNAの正規化とともにドメイン名で行われたことも明確に仮定していることを意味します。根拠と詳細については、セクション14.10(「国際化ドメイン名」)のIDNA固有のセキュリティに関する考慮事項を参照してください。
If an HTTP response, received over a secure transport, includes an STS header field, conforming to the grammar specified in Section 6.1 ("Strict-Transport-Security HTTP Response Header Field"), and there are no underlying secure transport errors or warnings (see Section 8.4), the UA MUST either:
セキュアなトランスポートを介して受信されたHTTP応答に、6.1節で指定された文法に準拠したSTSヘッダーフィールド(「Strict-Transport-Security HTTPレスポンスヘッダーフィールド」)が含まれ、基になるセキュアなトランスポートエラーまたは警告がない場合(セクション8.4を参照)、UAは次のいずれかを実行する必要があります。
o Note the host as a Known HSTS Host if it is not already so noted (see Section 8.1.1 ("Noting an HSTS Host - Storage Model")),
o まだ注記されていない場合は、ホストを既知のHSTSホストとしてメモします(セクション8.1.1(「HSTSホストの注記-ストレージモデル」を参照))。
or
または
o Update the UA's cached information for the Known HSTS Host if either or both of the max-age and includeSubDomains header field value tokens are conveying information different than that already maintained by the UA.
o max-ageとincludeSubDomainsヘッダーフィールド値トークンのいずれかまたは両方が、UAによってすでに維持されているものとは異なる情報を伝達している場合は、既知のHSTSホストのUAのキャッシュ情報を更新します。
The max-age value is essentially a "time to live" value relative to the reception time of the STS header field.
max-age値は、本質的には、STSヘッダーフィールドの受信時間に対する「存続時間」の値です。
If the max-age header field value token has a value of zero, the UA MUST remove its cached HSTS Policy information (including the includeSubDomains directive, if asserted) if the HSTS Host is known, or the UA MUST NOT note this HSTS Host if it is not yet known.
max-ageヘッダーフィールド値トークンの値がゼロの場合、HSTSホストが既知の場合、UAはキャッシュされたHSTSポリシー情報(アサートされている場合はincludeSubDomainsディレクティブを含む)を削除する必要があります。それはまだ知られていません。
If a UA receives more than one STS header field in an HTTP response message over secure transport, then the UA MUST process only the first such header field.
UAがセキュアなトランスポートを介してHTTP応答メッセージで複数のSTSヘッダーフィールドを受信する場合、UAは最初のそのようなヘッダーフィールドのみを処理する必要があります。
Otherwise:
さもないと:
o If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s).
o 安全でないトランスポートを介してHTTP応答が受信された場合、UAは現在のSTSヘッダーフィールドを無視する必要があります。
o The UA MUST ignore any STS header fields not conforming to the grammar specified in Section 6.1 ("Strict-Transport-Security HTTP Response Header Field").
o UAは、セクション6.1(「Strict-Transport-Security HTTP応答ヘッダーフィールド」)で指定されている文法に準拠していないSTSヘッダーフィールドを無視する必要があります。
If the substring matching the host production from the Request-URI (of the message to which the host responded) syntactically matches the IP-literal or IPv4address productions from Section 3.2.2 of [RFC3986], then the UA MUST NOT note this host as a Known HSTS Host.
(ホストが応答したメッセージの)Request-URIからのホストプロダクションと一致するサブストリングが構文的に[RFC3986]のセクション3.2.2からのIPリテラルまたはIPv4addressプロダクションと一致する場合、UAはこのホストを既知のHSTSホスト。
Otherwise, if the substring does not congruently match a Known HSTS Host's domain name, per the matching procedure specified in Section 8.2 ("Known HSTS Host Domain Name Matching"), then the UA MUST note this host as a Known HSTS Host, caching the HSTS Host's domain name and noting along with it the expiry time of this information, as effectively stipulated per the given max-age value, as well as whether the includeSubDomains directive is asserted or not. See also Section 11.2 ("HSTS Policy Expiration Time Considerations").
そうでない場合、サブストリングが既知のHSTSホストのドメイン名と一致しない場合は、セクション8.2(「既知のHSTSホストドメイン名の一致」)で指定された一致手順に従って、UAはこのホストを既知のHSTSホストとして認識し、 HSTSホストのドメイン名と、それに加えて、指定されたmax-age値、およびincludeSubDomainsディレクティブがアサートされているかどうかに応じて効果的に規定されている、この情報の有効期限。セクション11.2(「HSTSポリシーの有効期限に関する考慮事項」)も参照してください。
The UA MUST NOT modify the expiry time or the includeSubDomains directive of any superdomain matched Known HSTS Host.
UAは、既知のHSTSホストと一致するスーパードメインの有効期限またはincludeSubDomainsディレクティブを変更してはなりません(MUST NOT)。
A Known HSTS Host is "expired" if its cache entry has an expiry date in the past. The UA MUST evict all expired Known HSTS Hosts from its cache if, at any time, an expired Known HSTS Host exists in the cache.
既知のHSTSホストは、キャッシュエントリに過去の有効期限がある場合、「期限切れ」になります。いつでも、期限切れの既知のHSTSホストがキャッシュに存在する場合、UAは期限切れのすべての既知のHSTSホストをキャッシュから削除する必要があります。
A given domain name may match a Known HSTS Host's domain name in one or both of two fashions: a congruent match, or a superdomain match. Alternatively, there may be no match.
特定のドメイン名は、合同一致またはスーパードメイン一致の2つの方法のいずれかまたは両方で、既知のHSTSホストのドメイン名と一致する場合があります。または、一致しない場合があります。
The steps below determine whether there are any matches, and if so, of which fashion:
以下の手順では、一致するものがあるかどうか、ある場合はどの方法であるかを判別します。
Compare the given domain name with the domain name of each of the UA's unexpired Known HSTS Hosts. For each Known HSTS Host's domain name, the comparison is done with the given domain name label-by-label (comparing only labels) using an ASCII case-insensitive comparison beginning with the rightmost label, and continuing right-to-left. See also Section 2.3.2.4 of [RFC5890].
指定されたドメイン名を、UAの有効期限が切れていない既知のHSTSホストのそれぞれのドメイン名と比較します。既知のHSTSホストのドメイン名ごとに、指定されたドメイン名との比較(ラベルのみの比較)が、右端のラベルから始まり、右から左に続くASCIIの大文字と小文字を区別しない比較を使用して行われます。 [RFC5890]のセクション2.3.2.4もご覧ください。
* Superdomain Match
* スーパードメインの一致
If a label-for-label match between an entire Known HSTS Host's domain name and a right-hand portion of the given domain name is found, then this Known HSTS Host's domain name is a superdomain match for the given domain name. There could be multiple superdomain matches for a given domain name.
既知のHSTSホストのドメイン名全体と特定のドメイン名の右側の部分の間でラベルごとの一致が見つかった場合、この既知のHSTSホストのドメイン名は、特定のドメイン名のスーパードメインの一致です。特定のドメイン名に対して、複数のスーパードメインが一致する可能性があります。
For example:
例えば:
Given domain name (DN): qaz.bar.foo.example.com
与えられたドメイン名(DN):qaz.bar.foo.example.com
Superdomain matched Known HSTS Host DN: bar.foo.example.com
スーパードメインが既知のHSTSホストDNに一致:bar.foo.example.com
Superdomain matched Known HSTS Host DN: foo.example.com
スーパードメインが既知のHSTSホストDNに一致:foo.example.com
* Congruent Match
* 合同一致
If a label-for-label match between a Known HSTS Host's domain name and the given domain name is found -- i.e., there are no further labels to compare -- then the given domain name congruently matches this Known HSTS Host.
既知のHSTSホストのドメイン名と指定されたドメイン名の間のラベルごとの一致が見つかった場合(つまり、比較する追加のラベルがない場合)、指定されたドメイン名はこの既知のHSTSホストと一致します。
For example:
例えば:
Given domain name: foo.example.com
指定されたドメイン名:foo.example.com
Congruently matched Known HSTS Host DN: foo.example.com
一致する既知のHSTSホストDN:foo.example.com
* Otherwise, if no matches are found, the given domain name does not represent a Known HSTS Host.
* それ以外の場合、一致が見つからない場合、指定されたドメイン名は既知のHSTSホストを表していません。
Whenever the UA prepares to "load" (also known as "dereference") any "http" URI [RFC3986] (including when following HTTP redirects [RFC2616]), the UA MUST first determine whether a domain name is given in the URI and whether it matches a Known HSTS Host, using these steps:
UAが「http」URI [RFC3986](HTTPリダイレクト[RFC2616]に従う場合を含む)を「ロード」(「逆参照」とも呼ばれる)する準備をするときは常に、ドメイン名がURIで指定されているかどうかを最初に判断する必要があります。次の手順を使用して、既知のHSTSホストと一致するかどうか。
1. Extract from the URI any substring described by the host component of the authority component of the URI.
1. URIから、URIの機関コンポーネントのホストコンポーネントによって記述された部分文字列を抽出します。
2. If the substring is null, then there is no match with any Known HSTS Host.
2. サブストリングがヌルの場合、既知のHSTSホストとの一致はありません。
3. Else, if the substring is non-null and syntactically matches the IP-literal or IPv4address productions from Section 3.2.2 of [RFC3986], then there is no match with any Known HSTS Host.
3. それ以外の場合、部分文字列がnullでなく、[RFC3986]のセクション3.2.2のIPリテラルまたはIPv4addressプロダクションと構文的に一致する場合、既知のHSTSホストとの一致はありません。
4. Otherwise, the substring is a given domain name, which MUST be matched against the UA's Known HSTS Hosts using the procedure in Section 8.2 ("Known HSTS Host Domain Name Matching").
4. それ以外の場合、サブストリングは指定されたドメイン名であり、セクション8.2(「既知のHSTSホストドメイン名の一致」)の手順を使用して、UAの既知のHSTSホストと一致する必要があります。
5. If, when performing domain name matching any superdomain match with an asserted includeSubDomains directive is found, or, if no superdomain matches with asserted includeSubDomains directives are found and a congruent match is found (with or without an asserted includeSubDomains directive), then before proceeding with the load:
5. ドメイン名の一致を実行するときに、アサートされたincludeSubDomainsディレクティブとのスーパードメインの一致が見つかった場合、またはアサートされたincludeSubDomainsディレクティブとのスーパードメインの一致が見つからず、一致する一致が見つかった場合(アサートされたincludeSubDomainsディレクティブの有無にかかわらず)、次に進む前に積み荷:
The UA MUST replace the URI scheme with "https" [RFC2818], and
UAはURIスキームを "https" [RFC2818]に置き換えなければなりません。
if the URI contains an explicit port component of "80", then the UA MUST convert the port component to be "443", or
URIに「80」の明示的なポートコンポーネントが含まれている場合、UAはポートコンポーネントを「443」に変換する必要があります。
if the URI contains an explicit port component that is not equal to "80", the port component value MUST be preserved; otherwise,
URIに「80」以外の明示的なポートコンポーネントが含まれている場合は、ポートコンポーネントの値を保持する必要があります。さもないと、
if the URI does not contain an explicit port component, the UA MUST NOT add one.
URIに明示的なポートコンポーネントが含まれていない場合、UAは追加しないでください。
NOTE: These steps ensure that the HSTS Policy applies to HTTP over any TCP port of an HSTS Host.
注:これらの手順により、HSTSポリシーがHSTSホストのすべてのTCPポート上のHTTPに適用されることが保証されます。
NOTE: In the case where an explicit port is provided (and to a lesser extent with subdomains), it is reasonably likely that there is actually an HTTP (i.e., non-secure) server running on the specified port and that an HTTPS request will thus fail (see item 6 in Appendix A ("Design Decision Notes")).
注:明示的なポートが提供されている場合(およびサブドメインの場合はそれほどではありません)、指定されたポートで実際に実行されているHTTP(つまり、非セキュア)サーバーがあり、HTTPSリクエストがしたがって、失敗します(付録A(「設計決定ノート」)の項目6を参照)。
When connecting to a Known HSTS Host, the UA MUST terminate the connection (see also Section 12 ("User Agent Implementation Advice")) if there are any errors, whether "warning" or "fatal" or any other error level, with the underlying secure transport. For example, this includes any errors found in certificate validity checking that UAs employ, such as via Certificate Revocation Lists (CRLs) [RFC5280], or via the Online Certificate Status Protocol (OCSP) [RFC2560], as well as via TLS server identity checking [RFC6125].
既知のHSTSホストに接続するとき、UAは、「警告」、「致命的」、またはその他のエラーレベルのいずれかにエラーがある場合、接続を終了する必要があります(セクション12(「ユーザーエージェント実装のアドバイス」も参照))。基になる安全なトランスポート。たとえば、これには、証明書失効リスト(CRL)[RFC5280]、オンライン証明書ステータスプロトコル(OCSP)[RFC2560]、TLSサーバーIDなど、UAが使用する証明書の有効性チェックで見つかったエラーが含まれますチェック[RFC6125]。
UAs MUST NOT heed http-equiv="Strict-Transport-Security" attribute settings on <meta> elements [W3C.REC-html401-19991224] in received content.
UAは、受信したコンテンツの<meta>要素[W3C.REC-html401-19991224]のhttp-equiv = "Strict-Transport-Security"属性設定に注意してはなりません(MUST NOT)。
If a UA receives HTTP responses from a Known HSTS Host over a secure channel but the responses are missing the STS header field, the UA MUST continue to treat the host as a Known HSTS Host until the max-age value for the knowledge of that Known HSTS Host is reached. Note that the max-age value could be effectively infinite for a given Known HSTS Host. For example, this would be the case if the Known HSTS Host is part of a pre-configured list that is implemented such that the list entries never "age out".
UAが安全なチャネルを介して既知のHSTSホストからHTTP応答を受信したが、応答にSTSヘッダーフィールドが欠落している場合、UAは既知のHSTSホストとしてそのホストを扱い、既知の既知のmax-age値までHSTSホストに到達しました。 max-age値は、特定の既知のHSTSホストに対して事実上無限である可能性があることに注意してください。たとえば、既知のHSTSホストが、リストエントリが「期限切れ」にならないように実装されている事前構成済みリストの一部である場合がこれに該当します。
This section specifies how an HSTS Host must construct the Effective Request URI for a received HTTP request.
このセクションでは、HSTSホストが受信したHTTPリクエストの有効なリクエストURIを作成する方法を指定します。
HTTP requests often do not carry an absoluteURI for the target resource; instead, the URI needs to be inferred from the Request-URI, Host header field, and connection context ([RFC2616], Sections 3.2.1, 5.1.2, and 5.2). The result of this process is called the "effective request URI (ERU)". The "target resource" is the resource identified by the effective request URI.
多くの場合、HTTPリクエストはターゲットリソースの絶対URIを伝送しません。代わりに、URIはRequest-URI、ホストヘッダーフィールド、および接続コンテキストから推論される必要があります([RFC2616]、セクション3.2.1、5.1.2、および5.2)。このプロセスの結果は、「実効要求URI(ERU)」と呼ばれます。 「ターゲットリソース」は、有効なリクエストURIによって識別されるリソースです。
The first line of an HTTP request message, Request-Line, is specified by the following ABNF from [RFC2616], Section 5.1:
HTTPリクエストメッセージの最初の行であるRequest-Lineは、[RFC2616]のセクション5.1の次のABNFで指定されています。
Request-Line = Method SP Request-URI SP HTTP-Version CRLF
Request-Line =メソッドSP Request-URI SP HTTP-Version CRLF
The Request-URI, within the Request-Line, is specified by the following ABNF from [RFC2616], Section 5.1.2:
Request-Line内のRequest-URIは、[RFC2616]の次のABNF、セクション5.1.2で指定されています。
Request-URI = "*" | absoluteURI | abs_path | authority
Request-URI = "*" |絶対URI | abs_path |権限
The Host request header field is specified by the following ABNF from [RFC2616], Section 14.23:
Hostリクエストヘッダーフィールドは、[RFC2616]の次のABNF、セクション14.23で指定されています。
Host = "Host" ":" host [ ":" port ]
If the Request-URI is an absoluteURI, then the effective request URI is the Request-URI.
Request-URIがabsoluteURIの場合、有効な要求URIはRequest-URIです。
If the Request-URI uses the abs_path form or the asterisk form, and the Host header field is present, then the effective request URI is constructed by concatenating:
Request-URIがabs_pathフォームまたはアスタリスクフォームを使用し、Hostヘッダーフィールドが存在する場合、有効なリクエストURIは以下を連結することによって構築されます。
o the scheme name: "http" if the request was received over an insecure TCP connection, or "https" when received over a TLS/ SSL-secured TCP connection, and
o スキーム名:要求が安全でないTCP接続を介して受信された場合は「http」、TLS / SSLで保護されたTCP接続を介して受信された場合は「https」、および
o the octet sequence "://", and
o オクテットシーケンス「://」、および
o the host, and the port (if present), from the Host header field, and
o ホストヘッダーフィールドからのホスト、およびポート(存在する場合)、および
o the Request-URI obtained from the Request-Line, unless the Request-URI is just the asterisk "*".
o Request-URIがアスタリスク「*」以外の場合を除き、Request-Lineから取得されたRequest-URI。
If the Request-URI uses the abs_path form or the asterisk form, and the Host header field is not present, then the effective request URI is undefined.
Request-URIがabs_path形式またはアスタリスク形式を使用していて、Hostヘッダーフィールドが存在しない場合、有効な要求URIは未定義です。
Otherwise, when Request-URI uses the authority form, the effective request URI is undefined.
それ以外の場合、Request-URIが認証フォームを使用すると、有効なリクエストURIは未定義になります。
Effective request URIs are compared using the rules described in [RFC2616] Section 3.2.3, except that empty path components MUST NOT be treated as equivalent to an absolute path of "/".
有効なリクエストURIは、[RFC2616]セクション3.2.3で説明されているルールを使用して比較されます。ただし、空のパスコンポーネントは「/」の絶対パスと同等に扱われてはいけません。
Example 1: the effective request URI for the message
例1:メッセージの有効なリクエストURI
GET /pub/WWW/TheProject.html HTTP/1.1
Host: www.example.org:8080
(received over an insecure TCP connection) is "http", plus "://", plus the authority component "www.example.org:8080", plus the request-target "/pub/WWW/TheProject.html". Thus, it is "http://www.example.org:8080/pub/WWW/TheProject.html".
(安全でないTCP接続で受信)は、「http」に「://」を加え、さらにオーソリティコンポーネント「www.example.org:8080」に加えて、リクエストターゲット「/pub/WWW/TheProject.html」です。したがって、「http://www.example.org:8080/pub/WWW/TheProject.html」です。
Example 2: the effective request URI for the message
例2:メッセージの有効なリクエストURI
OPTIONS * HTTP/1.1 Host: www.example.org
オプション* HTTP / 1.1ホスト:www.example.org
(received over an SSL/TLS secured TCP connection) is "https", plus "://", plus the authority component "www.example.org". Thus, it is "https://www.example.org".
(SSL / TLSで保護されたTCP接続で受信)は、「https」に「://」を加え、さらにオーソリティコンポーネント「www.example.org」です。したがって、「https://www.example.org」です。
An IDNA-canonicalized domain name is the output string generated by the following steps. The input is a putative domain name string ostensibly composed of any combination of "A-labels", "U-labels", and "NR-LDH labels" (see Section 2 of [RFC5890]) concatenated using some separator character (typically ".").
IDNA正規化ドメイン名は、次の手順で生成される出力文字列です。入力は、「Aラベル」、「Uラベル」、および「NR-LDHラベル」([RFC5890]のセクション2を参照)の任意の組み合わせで構成されていると思われるドメイン名の文字列で、区切り文字(通常は「 。」)。
1. Convert the input putative domain name string to an order-preserving sequence of individual label strings.
1. 入力の推定ドメイン名文字列を、順序を保持する一連の個別のラベル文字列に変換します。
2. When implementing IDNA2008, convert, validate, and test each A-label and U-label found among the sequence of individual label strings, using the procedures defined in Sections 5.3 through 5.5 of [RFC5891].
2. IDNA2008を実装するときは、[RFC5891]のセクション5.3から5.5で定義された手順を使用して、個々のラベル文字列のシーケンスで見つかった各AラベルとUラベルを変換、検証、およびテストします。
Otherwise, when implementing IDNA2003, convert each label using the "ToASCII" conversion in Section 4 of [RFC3490] (see also the definition of "equivalence of labels" in Section 2 of [RFC3490]).
それ以外の場合、IDNA2003を実装するときは、[RFC3490]のセクション4の「ToASCII」変換を使用して各ラベルを変換します([RFC3490]のセクション2の「ラベルの同等性」の定義も参照)。
3. If no errors occurred during the foregoing step, concatenate all the labels in the sequence, in order, into a string, separating each label from the next with a %x2E (".") character. The resulting string, known as an IDNA-canonicalized domain name, is appropriate for use in the context of Section 8 ("User Agent Processing Model").
3. 上記の手順でエラーが発生しなかった場合は、シーケンス内のすべてのラベルを順番に文字列に連結し、各ラベルを次のラベルから%x2E( "。")文字で区切ります。結果の文字列は、IDNA正規化ドメイン名と呼ばれ、セクション8(「ユーザーエージェント処理モデル」)のコンテキストでの使用に適しています。
Otherwise, errors occurred. The input putative domain name string was not successfully IDNA-canonicalized. Invokers of this procedure should attempt appropriate error recovery.
そうでない場合、エラーが発生しました。入力の推定ドメイン名文字列がIDNA正規化されませんでした。この手順の実行者は、適切なエラー回復を試行する必要があります。
See also Sections 13 ("Internationalized Domain Names for Applications (IDNA): Dependency and Migration") and 14.10 ("Internationalized Domain Names") of this specification for further details and considerations.
詳細と考慮事項については、この仕様のセクション13(「アプリケーションの国際化ドメイン名(IDNA):依存関係と移行」)および14.10(「国際化ドメイン名」)も参照してください。
This section is non-normative.
このセクションは非規範的です。
Non-conformant UAs ignore the Strict-Transport-Security header field; thus, non-conformant user agents do not address the threats described in Section 2.3.1 ("Threats Addressed"). Please refer to Section 14.2 ("Non-Conformant User Agent Implications") for further discussion.
非準拠UAはStrict-Transport-Securityヘッダーフィールドを無視します。したがって、非準拠のユーザーエージェントは、セクション2.3.1(「対処される脅威」)で説明されている脅威に対処しません。詳細については、セクション14.2(「非適合ユーザーエージェントの影響」)を参照してください。
Server implementations and deploying web sites need to consider whether they are setting an expiry time that is a constant value into the future, or whether they are setting an expiry time that is a fixed point in time.
サーバーの実装とWebサイトの展開では、将来に向けて一定の値である有効期限を設定しているか、または一定の時間である有効期限を設定しているかを考慮する必要があります。
The "constant value into the future" approach can be accomplished by constantly sending the same max-age value to UAs.
「将来への一定値」アプローチは、同じ最大エージング値を常にUAに送信することで実現できます。
For example, a max-age value of 7776000 seconds is 90 days:
たとえば、7776000秒の最大エージング値は90日です。
Strict-Transport-Security: max-age=7776000
厳格な輸送セキュリティ:max-age = 7776000
Note that each receipt of this header by a UA will require the UA to update its notion of when it must delete its knowledge of this Known HSTS Host.
UAがこのヘッダーを受信するたびに、UAはこの既知のHSTSホストの知識をいつ削除する必要があるかについての概念を更新する必要があることに注意してください。
The "fixed point in time" approach can be accomplished by sending max-age values that represent the remaining time until the desired expiry time. This would require the HSTS Host to send a newly calculated max-age value in each HTTP response.
「固定時点」アプローチは、目的の有効期限までの残り時間を表す最大経過時間の値を送信することで実現できます。これには、HSTSホストが各HTTP応答で新しく計算されたmax-age値を送信する必要があります。
A consideration here is whether a deployer wishes to have the signaled HSTS Policy expiry time match that for the web site's domain certificate.
ここでの考慮事項は、デプロイされたHSTSポリシーの有効期限をWebサイトのドメイン証明書の有効期限と一致させるかどうかです。
Additionally, server implementers should consider employing a default max-age value of zero in their deployment configuration systems. This will require deployers to willfully set max-age in order to have UAs enforce the HSTS Policy for their host and will protect them from inadvertently enabling HSTS with some arbitrary non-zero duration.
さらに、サーバーの実装者は、デプロイメント構成システムでデフォルトのmax-age値をゼロにすることを検討する必要があります。これは、UAがホストに対してHSTSポリシーを実施するように意図的にmax-ageを設定することを展開者に要求し、任意のゼロ以外の任意の期間でHSTSを誤って有効にすることから保護します。
11.3. Using HSTS in Conjunction with Self-Signed Public-Key Certificates
11.3. 自己署名付き公開鍵証明書とHSTSの併用
If all four of the following conditions are true...
次の4つの条件がすべて当てはまる場合...
o a web site/organization/enterprise is generating its own secure transport public-key certificates for web sites, and
o Webサイト/組織/企業が、Webサイト用に独自の安全なトランスポート公開鍵証明書を生成している。
o that organization's root certification authority (CA) certificate is not typically embedded by default in browser and/or operating system CA certificate stores, and
o その組織のルート証明機関(CA)証明書は通常、デフォルトではブラウザーやオペレーティングシステムのCA証明書ストアに埋め込まれていません。
o HSTS Policy is enabled on a host identifying itself using a certificate signed by the organization's CA (i.e., a "self-signed certificate"), and
o HSTSポリシーは、組織のCAによって署名された証明書(つまり、「自己署名証明書」)を使用してホストを識別するホストで有効になっている。
o this certificate does not match a usable TLS certificate association (as defined by Section 4 of the TLSA protocol specification [RFC6698]),
o この証明書は、使用可能なTLS証明書の関連付け(TLSAプロトコル仕様[RFC6698]のセクション4で定義)と一致しません。
...then secure connections to that site will fail, per the HSTS design. This is to protect against various active attacks, as discussed above.
...そのサイトへの安全な接続は、HSTS設計に従って失敗します。これは、前述のように、さまざまなアクティブな攻撃から保護するためです。
However, if said organization wishes to employ its own CA, and self-signed certificates, in concert with HSTS, it can do so by deploying its root CA certificate to its users' browsers or operating system CA root certificate stores. It can also, in addition or instead, distribute to its users' browsers the end-entity certificate(s) for specific hosts. There are various ways in which this can be accomplished (details are out of scope for this specification). Once its root CA certificate is installed in the browsers, it may employ HSTS Policy on its site(s).
ただし、上記の組織がHSTSと連携して独自のCAおよび自己署名証明書を採用したい場合は、ルートCA証明書をユーザーのブラウザーまたはオペレーティングシステムのCAルート証明書ストアに展開することで実現できます。さらに、または代わりに、特定のホストのエンドエンティティ証明書をユーザーのブラウザーに配布することもできます。これにはさまざまな方法があります(詳細はこの仕様の範囲外です)。ルートCA証明書がブラウザにインストールされると、そのサイトでHSTSポリシーを使用できます。
Alternatively, that organization can deploy the TLSA protocol; all browsers that also use TLSA will then be able to trust the certificates identified by usable TLS certificate associations as denoted via TLSA.
または、その組織はTLSAプロトコルを展開できます。 TLSAも使用するすべてのブラウザは、TLSAを介して示される使用可能なTLS証明書の関連付けによって識別される証明書を信頼できます。
NOTE: Interactively distributing root CA certificates to users, e.g., via email, and having the users install them, is arguably training the users to be susceptible to a possible form of phishing attack. See Section 14.8 ("Bogus Root CA Certificate Phish plus DNS Cache Poisoning Attack"). Thus, care should be taken in the manner in which such certificates are distributed and installed on users' systems and browsers.
注:ルートCA証明書を電子メールなどを介してインタラクティブにユーザーに配布し、ユーザーにインストールさせることは、おそらくユーザーをフィッシング攻撃の可能性があるようにトレーニングすることです。セクション14.8(「偽のルートCA証明書フィッシュおよびDNSキャッシュポイズニング攻撃」)を参照してください。したがって、このような証明書がユーザーのシステムとブラウザーに配布およびインストールされる方法には注意が必要です。
The includeSubDomains directive has practical implications meriting careful consideration; two example scenarios are:
includeSubDomainsディレクティブには、慎重な検討に値する実用的な意味があります。 2つの例のシナリオは次のとおりです。
o An HSTS Host offers unsecured HTTP-based services on alternate ports or at various subdomains of its HSTS Host domain name.
o HSTSホストは、代替ポートで、またはHSTSホストドメイン名のさまざまなサブドメインで、セキュリティで保護されていないHTTPベースのサービスを提供します。
o Distinct web applications are offered at distinct subdomains of an HSTS Host, such that UAs often interact directly with these subdomain web applications without having necessarily interacted with a web application offered at the HSTS Host's domain name (if any).
o 個別のWebアプリケーションはHSTSホストの個別のサブドメインで提供されるため、UAはHSTSホストのドメイン名で提供されるWebアプリケーション(存在する場合)と必ずしも対話する必要なく、これらのサブドメインWebアプリケーションと直接対話することがよくあります。
The sections below discuss each of these scenarios in turn.
以下のセクションでは、これらの各シナリオについて順に説明します。
11.4.1. Considerations for Offering Unsecured HTTP Services at Alternate Ports or Subdomains of an HSTS Host
11.4.1. HSTSホストの代替ポートまたはサブドメインで安全でないHTTPサービスを提供するための考慮事項
For example, certification authorities often offer their CRL distribution and OCSP services [RFC2560] over plain HTTP, and sometimes at a subdomain of a publicly available web application that may be secured by TLS/SSL. For example, <https://ca.example.com/> is a publicly available web application for "Example CA", a certification authority. Customers use this web application to register their public keys and obtain certificates. "Example CA" generates certificates for customers containing <http://crl-and-ocsp.ca.example.com/> as the value for the "CRL Distribution Points" and "Authority Information Access:OCSP" certificate fields.
たとえば、証明機関はCRL配布とOCSPサービス[RFC2560]をプレーンHTTPで提供することが多く、場合によっては、TLS / SSLで保護されている公的に利用可能なWebアプリケーションのサブドメインで提供されます。たとえば、<https://ca.example.com/>は、証明機関である「Example CA」用に公開されているWebアプリケーションです。顧客はこのWebアプリケーションを使用して、公開鍵を登録し、証明書を取得します。 「サンプルCA」は、「CRL配布ポイント」および「機関情報アクセス:OCSP」証明書フィールドの値として<http://crl-and-ocsp.ca.example.com/>を含む顧客の証明書を生成します。
If ca.example.com were to issue an HSTS Policy with the includeSubDomains directive, then HTTP-based user agents implementing HSTS that have interacted with the ca.example.com web application would fail to retrieve CRLs and fail to check OCSP for certificates, because these services are offered over plain HTTP.
ca.example.comがincludeSubDomainsディレクティブを使用してHSTSポリシーを発行する場合、ca.example.com Webアプリケーションとやり取りしたHSTSを実装するHTTPベースのユーザーエージェントは、CRLの取得に失敗し、証明書のOCSPのチェックに失敗します。これらのサービスはプレーンHTTPで提供されるためです。
In this case, Example CA can either:
この場合、サンプルCAは次のいずれかを実行できます。
o not use the includeSubDomains directive, or
o includeSubDomainsディレクティブを使用しない、または
o ensure that HTTP-based services offered at subdomains of ca.example.com are also uniformly offered over TLS/SSL, or
o ca.example.comのサブドメインで提供されるHTTPベースのサービスもTLS / SSLで均一に提供されることを確認する、または
o offer plain HTTP-based services at a different domain name, e.g., crl-and-ocsp.ca.example.NET, or
o 異なるドメイン名でプレーンなHTTPベースのサービスを提供する(例:crl-and-ocsp.ca.example.NET)、または
o utilize an alternative approach to distributing certificate status information, obviating the need to offer CRL distribution and OCSP services over plain HTTP (e.g., the "Certificate Status Request" TLS extension [RFC6066], often colloquially referred to as "OCSP Stapling").
o 証明書のステータス情報を配信する代替アプローチを利用して、プレーンHTTPを介してCRL配信およびOCSPサービスを提供する必要をなくします(たとえば、「OCSPステイプル」とも呼ばれます)。
NOTE: The above points are expressly only an example and do not purport to address all the involved complexities. For instance, there are many considerations -- on the part of CAs, certificate deployers, and applications (e.g., browsers) -- involved in deploying an approach such as "OCSP Stapling". Such issues are out of scope for this specification.
注:上記のポイントはあくまでも例であり、関連するすべての複雑さに対処することを意図したものではありません。たとえば、「OCSPステイプル」などのアプローチのデプロイには、CA、証明書のデプロイヤー、およびアプリケーション(ブラウザーなど)に関する多くの考慮事項があります。このような問題は、この仕様の範囲外です。
11.4.2. Considerations for Offering Web Applications at Subdomains of an HSTS Host
11.4.2. HSTSホストのサブドメインでWebアプリケーションを提供する際の考慮事項
In this scenario, an HSTS Host declares an HSTS Policy with an includeSubDomains directive, and there also exist distinct web applications offered at distinct subdomains of the HSTS Host such that UAs often interact directly with these subdomain web applications without having necessarily interacted with the HSTS Host. In such a case, the UAs will not receive or enforce the HSTS Policy.
このシナリオでは、HSTSホストがincludeSubDomainsディレクティブを使用してHSTSポリシーを宣言し、HSTSホストの個別のサブドメインで提供される個別のWebアプリケーションも存在するため、UAはHSTSホストと必ずしも相互作用することなく、これらのサブドメインWebアプリケーションと直接相互作用することがよくあります。 。このような場合、UAはHSTSポリシーを受信または施行しません。
For example, the HSTS Host is "example.com", and it is configured to emit the STS header field with the includeSubDomains directive. However, example.com's actual web application is addressed at "www.example.com", and example.com simply redirects user agents to "https://www.example.com/".
たとえば、HSTSホストは「example.com」であり、includeSubDomainsディレクティブでSTSヘッダーフィールドを発行するように構成されています。ただし、example.comの実際のウェブアプリケーションは「www.example.com」でアドレス指定されており、example.comはユーザーエージェントを「https://www.example.com/」にリダイレクトするだけです。
If the STS header field is only emitted by "example.com" but UAs typically bookmark -- and links (from anywhere on the web) are typically established to -- "www.example.com", and "example.com" is not contacted directly by all user agents in some non-zero percentage of interactions, then some number of UAs will not note "example.com" as an HSTS Host, and some number of users of "www.example.com" will be unprotected by HSTS Policy.
STSヘッダーフィールドが「example.com」によってのみ発行されるが、UAは通常ブックマークし、リンク(Web上のどこからでも)は通常、「www.example.com」に確立され、「example.com」はゼロ以外の割合のインタラクションですべてのユーザーエージェントから直接接続されない場合、一部のUAは「example.com」をHSTSホストとして認識せず、「www.example.com」の一部のユーザーは保護されませんHSTSポリシーによる。
To address this, HSTS Hosts should be configured such that the STS header field is emitted directly at each HSTS Host domain or subdomain name that constitutes a well-known "entry point" to one's web application(s), whether or not the includeSubDomains directive is employed.
これに対処するには、HSTSホストは、includeSubDomainsディレクティブの有無にかかわらず、Webアプリケーションへの既知の「エントリポイント」を構成する各HSTSホストドメインまたはサブドメイン名でSTSヘッダーフィールドが直接出力されるように構成する必要があります。雇用されている。
Thus, in our example, if the STS header field is emitted from both "example.com" and "www.example.com", this issue will be addressed. Also, if there are any other well-known entry points to web applications offered by "example.com", such as "foo.example.com", they should also be configured to emit the STS header field.
したがって、この例では、STSヘッダーフィールドが「example.com」と「www.example.com」の両方から発行される場合、この問題は解決されます。また、「foo.example.com」など、「example.com」が提供するWebアプリケーションへの既知のエントリポイントが他にもある場合は、それらもSTSヘッダーフィールドを生成するように構成する必要があります。
This section is non-normative.
このセクションは非規範的です。
In order to provide users and web sites more effective protection, as well as controls for managing their UA's caching of HSTS Policy, UA implementers should consider including features such as the following:
ユーザーとWebサイトにより効果的な保護を提供し、HSTSポリシーのUAのキャッシュを管理するためのコントロールを提供するために、UAの実装者は次のような機能を含めることを検討する必要があります。
Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should be done with "no user recourse". This means that the user should not be presented with a dialog giving her the option to proceed. Rather, it should be treated similarly to a server error where there is nothing further the user can do with respect to interacting with the target web application, other than wait and retry.
警告またはエラー(セクション8.4(「安全なトランスポート確立」のエラー)による)で安全な接続の確立に失敗した場合は、「ユーザーに頼らない」ようにしてください。これは、ユーザーに、続行するオプションを与えるダイアログが表示されるべきではないことを意味します。むしろ、これはサーバーエラーと同様に扱われる必要があり、待機して再試行すること以外に、ユーザーがターゲットWebアプリケーションとの対話に関してこれ以上実行できることはありません。
Essentially, "any warnings or errors" means anything that would cause the UA implementation to announce to the user that something is not entirely correct with the connection establishment.
基本的に、「警告またはエラー」とは、UA実装がユーザーに、接続の確立に関して完全に正しくないことを通知する原因となるものを意味します。
Not doing this, i.e., allowing user recourse such as "clicking through warning/error dialogs", is a recipe for a man-in-the-middle attack. If a web application issues an HSTS Policy, then it is implicitly opting into the "no user recourse" approach, whereby all certificate errors or warnings cause a connection termination, with no chance to "fool" users into making the wrong decision and compromising themselves.
これを行わないこと、つまり、「警告/エラーダイアログをクリックして」などの手段をユーザーに許可することは、中間者攻撃のレシピです。 WebアプリケーションがHSTSポリシーを発行する場合、それは暗黙的に「ユーザーに頼らない」アプローチを選択します。これにより、すべての証明書エラーまたは警告が接続の終了を引き起こし、ユーザーを「だまして」間違った決定をして自分自身を危険にさらす機会がなくなります。 。
A user-declared HSTS Policy is the ability for users to explicitly declare a given domain name as representing an HSTS Host, thus seeding it as a Known HSTS Host before any actual interaction with it. This would help protect against the bootstrap MITM vulnerability as discussed in Section 14.6 ("Bootstrap MITM Vulnerability").
ユーザーが宣言したHSTSポリシーは、ユーザーが特定のドメイン名をHSTSホストを表すものとして明示的に宣言し、実際の対話の前に既知のHSTSホストとしてシードする機能です。これは、セクション14.6(「ブートストラップMITMの脆弱性」)で説明されているように、ブートストラップMITMの脆弱性から保護するのに役立ちます。
NOTE: Such a feature is difficult to get right on a per-site basis. See the discussion of "rewrite rules" in Section 5.5 of [ForceHTTPS]. For example, arbitrary web sites may not materialize all their URIs using the "https" scheme and thus could "break" if a UA were to attempt to access the site exclusively using such URIs. Also note that this feature would complement, but is independent of, an "HSTS pre-loaded list" feature (see Section 12.3).
注:このような機能をサイトごとに正しく設定することは困難です。 [ForceHTTPS]のセクション5.5の「書き換えルール」の説明を参照してください。たとえば、任意のWebサイトは「https」スキームを使用してすべてのURIを具体化しない可能性があり、そのため、UAがそのようなURIのみを使用してサイトにアクセスしようとすると、「破損」する可能性があります。また、この機能は「HSTSプリロードリスト」機能を補完しますが、これとは無関係です(セクション12.3を参照)。
An HSTS pre-loaded list is a facility whereby web site administrators can have UAs pre-configured with HSTS Policy for their site(s) by the UA vendor(s) -- a so-called "pre-loaded list" -- in a manner similar to how root CA certificates are embedded in browsers "at the factory". This would help protect against the bootstrap MITM vulnerability (Section 14.6).
HSTSプリロードリストは、Webサイト管理者がUAベンダーによるサイトのHSTSポリシーでUAを事前設定できる機能です。いわゆる「プリロードリスト」でルートCA証明書が「工場で」ブラウザに埋め込まれる方法に似た方法です。これは、ブートストラップMITMの脆弱性から保護するのに役立ちます(セクション14.6)。
NOTE: Such a facility would complement a "user-declared HSTS Policy" feature (Section 12.2).
注:このような機能は、「ユーザーが宣言したHSTSポリシー」機能(セクション12.2)を補完します。
"Mixed security context" loads happen when a web application resource, fetched by the UA over a secure transport, subsequently causes the fetching of one or more other resources without using secure transport. This is also generally referred to as "mixed content" loads (see Section 5.3 ("Mixed Content") in [W3C.REC-wsc-ui-20100812]) but should not be confused with the same "mixed content" term that is also used in the context of markup languages such as XML and HTML.
「混合セキュリティコンテキスト」のロードは、セキュアトランスポートを介してUAによってフェッチされたWebアプリケーションリソースが、セキュアトランスポートを使用せずに1つ以上の他のリソースをフェッチするときに発生します。これは一般に「混合コンテンツ」ロード([W3C.REC-wsc-ui-20100812]のセクション5.3(「混合コンテンツ」)を参照)とも呼ばれますが、同じ「混合コンテンツ」という用語と混同しないでください。 XMLやHTMLなどのマークアップ言語のコンテキストでも使用されます。
NOTE: In order to provide behavioral uniformity across UA implementations, the notion of mixed security context will require further standardization work, e.g., to define the term(s) more clearly and to define specific behaviors with respect to it.
注:UA実装全体で動作の均一性を提供するために、混合セキュリティコンテキストの概念では、たとえば、用語をより明確に定義し、それに関する特定の動作を定義するなど、さらなる標準化作業が必要になります。
HSTS Policy deletion is the ability to delete a UA's cached HSTS Policy on a per-HSTS Host basis.
HSTSポリシーの削除は、HSTSホストごとにUAのキャッシュされたHSTSポリシーを削除する機能です。
NOTE: Adding such a feature should be done very carefully in both the user interface and security senses. Deleting a cache entry for a Known HSTS Host should be a very deliberate and well-considered act -- it shouldn't be something that users get used to doing as a matter of course: e.g., just "clicking through" in order to get work done. Also, implementations need to guard against allowing an attacker to inject code, e.g., ECMAscript, into the UA that silently and programmatically removes entries from the UA's cache of Known HSTS Hosts.
注:このような機能の追加は、ユーザーインターフェイスとセキュリティの両方の意味で非常に慎重に行う必要があります。既知のHSTSホストのキャッシュエントリを削除することは、非常に慎重に考慮された行動である必要があります。もちろん、ユーザーが慣れ親しんでいるようなものであってはなりません。たとえば、仕事完了。また、実装では、既知のHSTSホストのUAのキャッシュからエントリをサイレントかつプログラムで削除するUAに、攻撃者がコード(ECMAscriptなど)を挿入できないようにする必要があります。
Textual domain names on the modern Internet may contain one or more "internationalized" domain name labels. Such domain names are referred to as "internationalized domain names" (IDNs). The specification suites defining IDNs and the protocols for their use are named "Internationalized Domain Names for Applications (IDNA)". At this time, there are two such specification suites: IDNA2008 [RFC5890] and its predecessor IDNA2003 [RFC3490].
最近のインターネット上のテキストドメイン名には、1つ以上の「国際化された」ドメイン名ラベルが含まれている場合があります。このようなドメイン名は、「国際化ドメイン名」(IDN)と呼ばれます。 IDNとその使用のためのプロトコルを定義する仕様スイートは、「アプリケーションの国際化ドメイン名(IDNA)」と呼ばれます。現在、このような仕様スイートは2つあります。IDNA2008[RFC5890]とその前身であるIDNA2003 [RFC3490]です。
IDNA2008 obsoletes IDNA2003, but there are differences between the two specifications, and thus there can be differences in processing (e.g., converting) domain name labels that have been registered under one from those registered under the other. There will be a transition period of some time during which IDNA2003-based domain name labels will exist in the wild. In order to facilitate their IDNA transition, user agents SHOULD implement IDNA2008 [RFC5890] and MAY implement [RFC5895] (see also Section 7 of [RFC5894]) or [UTS46]. If a user agent does not implement IDNA2008, the user agent MUST implement IDNA2003.
IDNA2008はIDNA2003を廃止しますが、2つの仕様に違いがあるため、一方に登録されたドメイン名ラベルの処理(変換など)が他方に登録されたものと異なる場合があります。 IDNA2003ベースのドメイン名ラベルが実際に存在する期間は、しばらくの間移行します。 IDNAの移行を容易にするために、ユーザーエージェントはIDNA2008 [RFC5890]を実装する必要があり(SHOULD)、[RFC5895]([RFC5894]のセクション7も参照)または[UTS46]を実装する場合があります。ユーザーエージェントがIDNA2008を実装しない場合、ユーザーエージェントはIDNA2003を実装する必要があります。
This specification concerns the expression, conveyance, and enforcement of the HSTS Policy. The overall HSTS Policy threat model, including addressed and unaddressed threats, is given in Section 2.3 ("Threat Model").
この仕様は、HSTSポリシーの表現、伝達、および施行に関するものです。対処済みおよび未対処の脅威を含む、HSTSポリシーの全体的な脅威モデルについては、セクション2.3(「脅威モデル」)を参照してください。
Additionally, the sections below discuss operational ramifications of the HSTS Policy, provide feature rationale, discuss potential HSTS Policy misuse, and highlight some known vulnerabilities in the HSTS Policy regime.
さらに、以下のセクションでは、HSTSポリシーの運用上の影響について説明し、機能の根拠を示し、HSTSポリシーの誤用の可能性について説明し、HSTSポリシー体制における既知の脆弱性をいくつか取り上げます。
This specification is fashioned to be independent of the secure transport underlying HTTP. However, the threat analysis and requirements in Section 2 ("Overview") in fact presume TLS or SSL as the underlying secure transport. Thus, employment of HSTS in the context of HTTP running over some other secure transport protocol would require assessment of that secure transport protocol's security model in conjunction with the specifics of how HTTP is layered over it in order to assess HSTS's subsequent security properties in that context.
この仕様は、HTTPの基礎となるセキュアなトランスポートから独立するように作成されています。ただし、セクション2(「概要」)の脅威の分析と要件では、実際には、TLSまたはSSLが基盤の安全なトランスポートであると想定しています。したがって、他のいくつかのセキュアトランスポートプロトコル上で実行されるHTTPのコンテキストでHSTSを使用するには、そのコンテキストでのHSTSの後続のセキュリティプロパティを評価するために、そのセキュアトランスポートプロトコルのセキュリティモデルを評価し、HTTPがどのように階層化されるかの詳細と併せて評価する必要があります。 。
Non-conformant user agents ignore the Strict-Transport-Security header field; thus, non-conformant user agents do not address the threats described in Section 2.3.1 ("Threats Addressed").
非準拠のユーザーエージェントは、Strict-Transport-Securityヘッダーフィールドを無視します。したがって、非準拠のユーザーエージェントは、セクション2.3.1(「対処される脅威」)で説明されている脅威に対処しません。
This means that the web application and its users wielding non-conformant UAs will be vulnerable to both of the following:
これは、非準拠UAを使用するWebアプリケーションとそのユーザーが、次の両方に対して脆弱であることを意味します。
o Passive network attacks due to web site development and deployment bugs:
o Webサイトの開発および展開のバグによるパッシブネットワーク攻撃:
For example, if the web application contains any insecure references (e.g., "http") to the web application server, and if not all of its cookies are flagged as "Secure", then its cookies will be vulnerable to passive network sniffing and, potentially, subsequent misuse of user credentials.
たとえば、WebアプリケーションにWebアプリケーションサーバーへの安全でない参照(「http」など)が含まれていて、そのすべてのCookieが「セキュア」としてフラグが付けられていない場合、そのCookieはパッシブネットワークスニッフィングに対して脆弱です。潜在的に、その後のユーザー資格情報の誤用。
o Active network attacks:
o アクティブなネットワーク攻撃:
For example, if an attacker is able to place a "man in the middle", secure transport connection attempts will likely yield warnings to the user, but without HSTS Policy being enforced, the present common practice is to allow the user to "click through" and proceed. This renders the user and possibly the web application open to abuse by such an attacker.
たとえば、攻撃者が「中間者」を配置できる場合、安全なトランスポート接続の試行はユーザーに警告を生成する可能性がありますが、HSTSポリシーが適用されていない場合、現在の一般的な方法は、ユーザーが「クリックスルー」できるようにすることです"続行します。これにより、ユーザーとWebアプリケーションが攻撃者に悪用される可能性があります。
This is essentially the status quo for all web applications and their users in the absence of HSTS Policy. Since web application providers typically do not control the type or version of UAs their web applications interact with, the implication is that HSTS Host deployers must generally exercise the same level of care to avoid web site development and deployment bugs (see Section 2.3.1.3) as they would if they were not asserting HSTS Policy.
これは基本的に、HSTSポリシーがない場合のすべてのWebアプリケーションとそのユーザーの現状です。 Webアプリケーションプロバイダーは通常、Webアプリケーションが対話するUAのタイプまたはバージョンを制御しないため、HSTSホストデプロイヤーは、通常、Webサイトの開発およびデプロイのバグを回避するために同じレベルの注意を払う必要があることを意味します(2.3.1.3項を参照)。 HSTSポリシーを主張していない場合と同じように。
The user agent processing model defined in Section 8 ("User Agent Processing Model") stipulates that a host is initially noted as a Known HSTS Host, or that updates are made to a Known HSTS Host's cached information, only if the UA receives the STS header field over a secure transport connection having no underlying secure transport errors or warnings.
セクション8(「ユーザーエージェント処理モデル」)で定義されているユーザーエージェント処理モデルは、ホストが最初に既知のHSTSホストとして示されるか、UAがSTSを受信した場合にのみ、既知のHSTSホストのキャッシュ情報に更新が加えられることを規定しています基になるセキュアトランスポートエラーまたは警告のないセキュアトランスポート接続上のヘッダーフィールド。
The rationale behind this is that if there is a "man in the middle" (MITM) -- whether a legitimately deployed proxy or an illegitimate entity -- it could cause various mischief (see also Appendix A ("Design Decision Notes") item 3, as well as Section 14.6 ("Bootstrap MITM Vulnerability")); for example:
この背後にある理論的根拠は、 "man in the middle"(MITM)が存在する場合(合法的に配備されたプロキシまたは非合法のエンティティであろうと)、さまざまないたずらを引き起こす可能性があるということです(付録A(「設計決定ノート」)も参照)。 3、およびセクション14.6(「Bootstrap MITM Vulnerability」));例えば:
o Unauthorized notation of the host as a Known HSTS Host, potentially leading to a denial-of-service situation if the host does not uniformly offer its services over secure transport (see also Section 14.5 ("Denial of Service")).
o 既知のHSTSホストとしてのホストの不正な表記。ホストがセキュアなトランスポートを介して均一にサービスを提供しない場合、サービス拒否の状況につながる可能性があります(セクション14.5(「サービス拒否」)も参照)。
o Resetting the time to live for the host's designation as a Known HSTS Host by manipulating the max-age header field parameter value that is returned to the UA. If max-age is returned as zero, this will cause the host to cease being regarded as a Known HSTS Host by the UA, leading to either insecure connections to the host or possibly denial of service if the host delivers its services only over secure transport.
o UAに返されるmax-ageヘッダーフィールドのパラメーター値を操作して、ホストが既知のHSTSホストとして指定されるまでの存続時間をリセットします。 max-ageがゼロとして返される場合、これにより、ホストはUAによって既知のHSTSホストと見なされなくなり、ホストへの安全でない接続、またはホストが安全なトランスポート経由でのみサービスを提供する場合はサービス拒否につながる可能性があります。 。
However, this means that if a UA is "behind" a MITM non-transparent TLS proxy -- within a corporate intranet, for example -- and interacts with an unknown HSTS Host beyond the proxy, the user could possibly be presented with the legacy secure connection error dialogs. Even if the risk is accepted and the user "clicks through", the host will not be noted as an HSTS Host. Thus, as long as the UA is behind such a proxy, the user will be vulnerable and will possibly be presented with the legacy secure connection error dialogs for as-yet unknown HSTS Hosts.
ただし、これは、UAが(企業のイントラネット内などで)MITM非透過TLSプロキシの「背後」にあり、プロキシを越えて不明なHSTSホストと対話する場合、ユーザーにレガシーが提示される可能性があることを意味します。安全な接続エラーダイアログ。リスクが受け入れられ、ユーザーが「クリックスルー」した場合でも、ホストはHSTSホストとして認識されません。したがって、UAがそのようなプロキシの背後にある限り、ユーザーは脆弱であり、おそらくまだ不明なHSTSホストのレガシーセキュア接続エラーダイアログが表示されます。
Once the UA successfully connects to an unknown HSTS Host over error-free secure transport, the host will be noted as a Known HSTS Host. This will result in the failure of subsequent connection attempts from behind interfering proxies.
UAがエラーのない安全なトランスポートを介して未知のHSTSホストに正常に接続すると、ホストは既知のHSTSホストとして示されます。これにより、干渉プロキシの背後からの後続の接続試行が失敗します。
The above discussion relates to the recommendation in Section 12 ("User Agent Implementation Advice") that the secure connection be terminated with "no user recourse" whenever there are warnings and errors and the host is a Known HSTS Host. Such a posture protects users from "clicking through" security warnings and putting themselves at risk.
上記の説明は、警告とエラーがあり、ホストが既知のHSTSホストである場合は常に、安全な接続を「ユーザーに頼らない」で終了するというセクション12(「ユーザーエージェント実装のアドバイス」)の推奨事項に関連しています。このような姿勢は、ユーザーがセキュリティ警告を「クリックスルー」し、自分自身を危険にさらすことから保護します。
Without the includeSubDomains directive, a web application would not be able to adequately protect so-called "domain cookies" (even if these cookies have their "Secure" flag set and thus are conveyed only on secure channels). These are cookies the web application expects UAs to return to any and all subdomains of the web application.
includeSubDomainsディレクティブがないと、Webアプリケーションはいわゆる「ドメインCookie」を適切に保護できません(これらのCookieに「セキュア」フラグが設定されていて、セキュアチャネルでのみ伝達される場合でも)。これらは、UAがWebアプリケーションのすべてのサブドメインに戻ることをWebアプリケーションが期待するCookieです。
For example, suppose example.com represents the top-level DNS name for a web application. Further suppose that this cookie is set for the entire example.com domain, i.e., it is a "domain cookie", and it has its Secure flag set. Suppose example.com is a Known HSTS Host for this UA, but the includeSubDomains directive is not set.
たとえば、example.comがWebアプリケーションのトップレベルのDNS名を表すとします。さらに、このCookieがexample.comドメイン全体に設定されていると想定します。つまり、「ドメインCookie」であり、セキュアフラグが設定されています。 example.comがこのUAの既知のHSTSホストであるが、includeSubDomainsディレクティブが設定されていないとします。
Now, if an attacker causes the UA to request a subdomain name that is unlikely to already exist in the web application, such as "https://uxdhbpahpdsf.example.com/", but that the attacker has managed to register in the DNS and point at an HTTP server under the attacker's control, then:
ここで、攻撃者がUAに、「https://uxdhbpahpdsf.example.com/」など、Webアプリケーションにすでに存在する可能性が低いサブドメイン名を要求させたが、攻撃者がDNSに登録した場合攻撃者の制御下にあるHTTPサーバーをポイントし、次のようにします。
1. The UA is unlikely to already have an HSTS Policy established for "uxdhbpahpdsf.example.com".
1. UAは、「uxdhbpahpdsf.example.com」に対してHSTSポリシーをすでに確立している可能性は低いです。
2. The HTTP request sent to uxdhbpahpdsf.example.com will include the Secure-flagged domain cookie.
2. uxdhbpahpdsf.example.comに送信されるHTTP要求には、安全フラグが設定されたドメインCookieが含まれます。
3. If "uxdhbpahpdsf.example.com" returns a certificate during TLS establishment, and the user "clicks through" any warning that might be presented (it is possible, but not certain, that one may obtain a requisite certificate for such a domain name such that a warning may or may not appear), then the attacker can obtain the Secure-flagged domain cookie that's ostensibly being protected.
3. 「uxdhbpahpdsf.example.com」がTLSの確立中に証明書を返し、ユーザーが表示される可能性のある警告を「クリックスルー」する場合(可能ですが、確実ではありませんが、そのようなドメイン名に必要な証明書を取得する可能性があります)警告が表示される場合と表示されない場合があります)、攻撃者は表面的に保護されているセキュアフラグ付きドメインCookieを取得できます。
Without the "includeSubDomains" directive, HSTS is unable to protect such Secure-flagged domain cookies.
"includeSubDomains"ディレクティブがないと、HSTSはそのようなセキュアフラグ付きドメインCookieを保護できません。
HSTS could be used to mount certain forms of Denial-of-Service (DoS) attacks against web sites. A DoS attack is an attack in which one or more network entities target a victim entity and attempt to prevent the victim from doing useful work. This section discusses such scenarios in terms of HSTS, though this list is not exhaustive. See also [RFC4732] for a discussion of overall Internet DoS considerations.
HSTSを使用して、Webサイトに対する特定の形式のサービス拒否(DoS)攻撃を仕掛けることができます。 DoS攻撃は、1つまたは複数のネットワークエンティティが被害者のエンティティを標的とし、被害者が有用な作業を行うのを阻止しようとする攻撃です。このセクションでは、HSTSの観点からこのようなシナリオについて説明しますが、このリストは網羅的ではありません。インターネットDoSに関する全般的な考慮事項については、[RFC4732]も参照してください。
o Web applications available over HTTP
o HTTP経由で利用可能なWebアプリケーション
There is an opportunity for perpetrating DoS attacks with web applications (or critical portions of them) that are available only over HTTP without secure transport, if attackers can cause UAs to set HSTS Policy for such web applications' host(s).
攻撃者がUAにそのようなWebアプリケーションのホストのHSTSポリシーを設定させることができる場合、セキュアなトランスポートなしでHTTP経由でのみ利用可能なWebアプリケーション(またはその重要な部分)でDoS攻撃を実行する機会があります。
This is because once the HSTS Policy is set for a web application's host in a UA, the UA will only use secure transport to communicate with the host. If the host is not using secure transport or is not using it for critical portions of its web application, then the web application will be rendered unusable for the UA's user.
これは、UA内のWebアプリケーションのホストに対してHSTSポリシーが設定されると、UAはホストとの通信に安全なトランスポートのみを使用するためです。ホストがセキュアなトランスポートを使用していない場合、またはホストがWebアプリケーションの重要な部分に使用していない場合、UAのユーザーはWebアプリケーションを使用できなくなります。
NOTE: This is a use case for UAs to offer an "HSTS Policy deletion" feature as noted in Section 12.5 ("HSTS Policy Deletion").
注:これは、UAが12.5節(「HSTSポリシーの削除」)に記載されている「HSTSポリシーの削除」機能を提供する使用例です。
An HSTS Policy can be set for a victim host in various ways:
HSTSポリシーは、被害者のホストに対してさまざまな方法で設定できます。
* If the web application has an HTTP response splitting vulnerability [CWE-113] (which can be abused in order to facilitate "HTTP header injection").
* WebアプリケーションにHTTP応答分割の脆弱性[CWE-113](「HTTPヘッダーインジェクション」を容易にするために悪用される可能性がある)がある場合。
* If an attacker can spoof a redirect from an insecure victim site, e.g., <http://example.com/> to <https://example.com/>, where the latter is attacker-controlled and has an apparently valid certificate. In this situation, the attacker can then set an HSTS Policy for example.com and also for all subdomains of example.com.
* 攻撃者が<http://example.com/>から<https://example.com/>への安全でない被害者サイトからのリダイレクトを偽装できる場合、後者は攻撃者によって制御され、明らかに有効な証明書を持っています。 。この状況では、攻撃者はexample.comおよびexample.comのすべてのサブドメインに対してHSTSポリシーを設定できます。
* If an attacker can convince users to manually configure HSTS Policy for a victim host. This assumes that their UAs offer such a capability (see Section 12 ("User Agent Implementation Advice")). Alternatively, if such UA configuration is scriptable, then an attacker can cause UAs to execute his script and set HSTS Policies for whichever desired domains.
* 攻撃者がユーザーに被害者のホストのHSTSポリシーを手動で構成するよう誘導することができる場合。これは、それらのUAがそのような機能を提供することを前提としています(セクション12(「ユーザーエージェント実装のアドバイス」)を参照)。または、そのようなUA構成がスクリプト可能な場合、攻撃者はUAにスクリプトを実行させ、目的のドメインのHSTSポリシーを設定できます。
o Inadvertent use of includeSubDomains
o includeSubDomainsの不注意な使用
The includeSubDomains directive instructs UAs to automatically regard all subdomains of the given HSTS Host as Known HSTS Hosts. If any such subdomains do not support properly configured secure transport, then they will be rendered unreachable from such UAs.
includeSubDomainsディレクティブは、特定のHSTSホストのすべてのサブドメインを既知のHSTSホストと自動的に見なすようにUAに指示します。そのようなサブドメインが適切に構成された安全なトランスポートをサポートしない場合、それらはそのようなUAから到達不能になります。
Bootstrap MITM (man-in-the-middle) vulnerability is a vulnerability that users and HSTS Hosts encounter in the situation where the user manually enters, or follows a link, to an unknown HSTS Host using an "http" URI rather than an "https" URI. Because the UA uses an insecure channel in the initial attempt to interact with the specified server, such an initial interaction is vulnerable to various attacks (see Section 5.3 of [ForceHTTPS]).
ブートストラップMITM(man-in-the-middle)の脆弱性は、ユーザーではなく「http」URIを使用して不明なHSTSホストにユーザーが手動で入力するか、リンクをたどる状況でユーザーとHSTSホストが遭遇する脆弱性ですhttps "URI。 UAは指定されたサーバーとのやり取りの最初の試みで安全でないチャネルを使用するため、そのような最初のやり取りはさまざまな攻撃に対して脆弱です([ForceHTTPS]のセクション5.3を参照)。
NOTE: There are various features/facilities that UA implementations may employ in order to mitigate this vulnerability. Please see Section 12 ("User Agent Implementation Advice").
注:この脆弱性を緩和するために、UA実装が採用する可能性のあるさまざまな機能/機能があります。セクション12(「ユーザーエージェントの実装に関するアドバイス」)を参照してください。
Active network attacks can subvert network time protocols (such as the Network Time Protocol (NTP) [RFC5905]) -- making HSTS less effective against clients that trust NTP or lack a real time clock. Network time attacks are beyond the scope of this specification. Note that modern operating systems use NTP by default. See also Section 2.10 of [RFC4732].
アクティブなネットワーク攻撃により、ネットワークタイムプロトコル(Network Time Protocol(NTP)[RFC5905]など)が破壊される可能性があります。NTPを信頼するクライアントやリアルタイムクロックがないクライアントに対してHSTSの効果が低下します。ネットワーク時間攻撃は、この仕様の範囲を超えています。最新のオペレーティングシステムはデフォルトでNTPを使用することに注意してください。 [RFC4732]のセクション2.10も参照してください。
An attacker could conceivably obtain users' login credentials belonging to a victim HSTS-protected web application via a bogus root CA certificate phish plus DNS cache poisoning attack.
攻撃者は、偽のルートCA証明書フィッシングとDNSキャッシュポイズニング攻撃を介して、被害者のHSTSで保護されたWebアプリケーションに属するユーザーのログイン資格情報を取得する可能性があります。
For example, the attacker could first convince users of a victim web application (which is protected by HSTS Policy) to install the attacker's version of a root CA certificate purporting (falsely) to represent the CA of the victim web application. This might be accomplished by sending the users a phishing email message with a link to such a certificate, which their browsers may offer to install if clicked on.
たとえば、攻撃者はまず、被害者のWebアプリケーション(HSTSポリシーで保護されている)のユーザーに、攻撃者のバージョンのルートCA証明書をインストールして、被害者のWebアプリケーションのCAを表すと偽って(偽って)インストールする可能性があります。これは、そのような証明書へのリンクが含まれたフィッシング電子メールメッセージをユーザーに送信することによって達成される可能性があります。
Then, if the attacker can perform an attack on the users' DNS servers, (e.g., via cache poisoning) and turn on HSTS Policy for their fake web application, the affected users' browsers would access the attacker's web application rather than the legitimate web application.
次に、攻撃者がユーザーのDNSサーバーに(キャッシュポイズニングなどを介して)攻撃を実行し、偽のWebアプリケーションのHSTSポリシーを有効にできる場合、影響を受けるユーザーのブラウザーは正規のWebではなく攻撃者のWebアプリケーションにアクセスします応用。
This type of attack leverages vectors that are outside of the scope of HSTS. However, the feasibility of such threats can be mitigated by including in a web application's overall deployment approach appropriate employment, in addition to HSTS, of security facilities such as DNS Security Extensions [RFC4033], plus techniques to block email phishing and fake certificate injection.
このタイプの攻撃は、HSTSの範囲外のベクトルを利用します。ただし、このような脅威の実現可能性は、HSTSに加えて、DNS Security Extensions [RFC4033]などのセキュリティ機能の適切な採用に加え、電子メールのフィッシングや偽の証明書インジェクションをブロックする手法をWebアプリケーションの全体的な導入アプローチに含めることで軽減できます。
Since an HSTS Host may select its own host name and subdomains thereof, and this information is cached in the HSTS Policy store of conforming UAs, it is possible for those who control one or more HSTS Hosts to encode information into domain names they control and cause such UAs to cache this information as a matter of course in the process of noting the HSTS Host. This information can be retrieved by other hosts through cleverly constructed and loaded web resources, causing the UA to send queries to (variations of) the encoded domain names. Such queries can reveal whether the UA had previously visited the original HSTS Host (and subdomains).
HSTSホストは独自のホスト名とそのサブドメインを選択する可能性があり、この情報は準拠するUAのHSTSポリシーストアにキャッシュされるため、1つ以上のHSTSホストを制御するユーザーが、自分が制御および原因とするドメイン名に情報をエンコードすることが可能です。そのようなUAがこの情報をキャッシュするのは、当然のことながらHSTSホストへの通知プロセスです。この情報は、巧妙に構築およびロードされたWebリソースを介して他のホストによって取得でき、UAがエンコードされたドメイン名(のバリエーション)にクエリを送信するようにします。このようなクエリは、UAが以前に元のHSTSホスト(およびサブドメイン)を以前に訪問したかどうかを明らかにできます。
Such a technique could potentially be abused as yet another form of "web tracking" [WebTracking].
このような手法は、「ウェブトラッキング」のもう1つの形式[WebTracking]として悪用される可能性があります。
Internet security relies in part on the DNS and the domain names it hosts. Domain names are used by users to identify and connect to Internet hosts and other network resources. For example, Internet security is compromised if a user entering an internationalized domain name (IDN) is connected to different hosts based on different interpretations of the IDN.
インターネットセキュリティは、DNSとそれがホストするドメイン名に一部依存しています。ユーザーはドメイン名を使用して、インターネットホストやその他のネットワークリソースを識別し、接続します。たとえば、国際化ドメイン名(IDN)を入力するユーザーが、IDNのさまざまな解釈に基づいてさまざまなホストに接続されている場合、インターネットセキュリティが危険にさらされます。
The processing models specified in this specification assume that the domain names they manipulate are IDNA-canonicalized, and that the canonicalization process correctly performed all appropriate IDNA and Unicode validations and character list testing per the requisite specifications (e.g., as noted in Section 10 ("Domain Name IDNA-Canonicalization")). These steps are necessary in order to avoid various potentially compromising situations.
この仕様で指定されている処理モデルは、操作するドメイン名がIDNA正規化されており、正規化プロセスが、必要な仕様(セクション10に記載されているように(Iドメイン名IDNA-Canonicalization "))。これらの手順は、さまざまな潜在的に妥協する状況を回避するために必要です。
In brief, examples of issues that could stem from lack of careful and consistent Unicode and IDNA validations include unexpected processing exceptions, truncation errors, and buffer overflows, as well as false-positive and/or false-negative domain name matching results. Any of the foregoing issues could possibly be leveraged by attackers in various ways.
簡単に言えば、注意深く一貫したUnicodeおよびIDNA検証の欠如から生じる可能性のある問題の例には、予期しない処理例外、切り捨てエラー、バッファオーバーフロー、および誤検出または誤検出のドメイン名の一致結果などがあります。前述の問題はいずれも、攻撃者によってさまざまな方法で利用される可能性があります。
Additionally, IDNA2008 [RFC5890] differs from IDNA2003 [RFC3490] in terms of disallowed characters and character mapping conventions. This situation can also lead to false-positive and/or false-negative domain name matching results, resulting in, for example, users possibly communicating with unintended hosts or not being able to reach intended hosts.
さらに、IDNA2008 [RFC5890]は、許可されない文字と文字マッピング規則の点でIDNA2003 [RFC3490]と異なります。この状況は、誤検出や誤検出のドメイン名照合結果につながる可能性もあり、たとえば、ユーザーが意図しないホストと通信したり、目的のホストに到達できなかったりする可能性があります。
For details, refer to the Security Considerations sections of [RFC5890], [RFC5891], and [RFC3490], as well as the specifications they normatively reference. Additionally, [RFC5894] provides detailed background and rationale for IDNA2008 in particular, as well as IDNA and its issues in general, and should be consulted in conjunction with the former specifications.
詳細については、[RFC5890]、[RFC5891]、および[RFC3490]のセキュリティに関する考慮事項のセクションと、それらが標準的に参照している仕様を参照してください。さらに、[RFC5894]は、特にIDNA2008の詳細な背景と根拠、およびIDNAとその一般的な問題を提供し、以前の仕様と併せて参照する必要があります。
Below is the Internet Assigned Numbers Authority (IANA) Permanent Message Header Field registration information per [RFC3864].
以下は、[RFC3864]によるInternet Assigned Numbers Authority(IANA)Permanent Message Header Fieldの登録情報です。
Header field name: Strict-Transport-Security
Applicable protocol: http
Status: standard
Author/Change controller: IETF
Specification document(s): this one
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., and T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, June 1999.
[RFC2616] Fielding、R.、Gettys、J.、Mogul、J.、Frystyk、H.、Masinter、L.、Leach、P。、およびT. Berners-Lee、「Hypertext Transfer Protocol-HTTP / 1.1」 、RFC 2616、1999年6月。
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000.
[RFC2818] Rescorla、E。、「HTTP over TLS」、RFC 2818、2000年5月。
[RFC3490] Faltstrom, P., Hoffman, P., and A. Costello, "Internationalizing Domain Names in Applications (IDNA)", RFC 3490, March 2003.
[RFC3490] Faltstrom、P.、Hoffman、P。、およびA. Costello、「Internationalizing Domain Names in Applications(IDNA)」、RFC 3490、2003年3月。
[RFC3864] Klyne, G., Nottingham, M., and J. Mogul, "Registration Procedures for Message Header Fields", BCP 90, RFC 3864, September 2004.
[RFC3864]クライン、G。、ノッティンガム、M。、およびJ.モーグル、「メッセージヘッダーフィールドの登録手順」、BCP 90、RFC 3864、2004年9月。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、STD 66、RFC 3986、2005年1月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、2008年8月。
[RFC5890] Klensin, J., "Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework", RFC 5890, August 2010.
[RFC5890] Klensin、J。、「Internationalized Domain Names for Applications(IDNA):Definitions and Document Framework」、RFC 5890、2010年8月。
[RFC5891] Klensin, J., "Internationalized Domain Names in Applications (IDNA): Protocol", RFC 5891, August 2010.
[RFC5891] Klensin、J。、「Internationalized Domain Names in Applications(IDNA):Protocol」、RFC 5891、2010年8月。
[RFC5895] Resnick, P. and P. Hoffman, "Mapping Characters for Internationalized Domain Names in Applications (IDNA) 2008", RFC 5895, September 2010.
[RFC5895] Resnick、P。およびP. Hoffman、「アプリケーションの国際化ドメイン名のマッピング文字(IDNA)2008」、RFC 5895、2010年9月。
[RFC6698] Hoffman, P. and J. Schlyter, "The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA", RFC 6698, August 2012.
[RFC6698] Hoffman、P。およびJ. Schlyter、「DNSベースの名前付きエンティティの認証(DANE)トランスポート層セキュリティ(TLS)プロトコル:TLSA」、RFC 6698、2012年8月。
[UTS46] Davis, M. and M. Suignard, "Unicode IDNA Compatibility Processing", Unicode Technical Standard #46, <http://unicode.org/reports/tr46/>.
[UTS46] Davis、M。およびM. Suignard、「Unicode IDNA互換性処理」、Unicode Technical Standard#46、<http://unicode.org/reports/tr46/>。
[Unicode] The Unicode Consortium, "The Unicode Standard", <http://www.unicode.org/versions/latest/>.
[Unicode] Unicodeコンソーシアム、「The Unicode Standard」、<http://www.unicode.org/versions/latest/>。
[W3C.REC-html401-19991224] Raggett, D., Le Hors, A., and I. Jacobs, "HTML 4.01 Specification", World Wide Web Consortium Recommendation REC-html401-19991224, December 1999, <http://www.w3.org/TR/1999/REC-html401-19991224/>.
[W3C.REC-html401-19991224] Raggett、D.、Le Hors、A。、およびI. Jacobs、「HTML 4.01 Specification」、World Wide Web Consortium Recommendation REC-html401-19991224、1999年12月、<http:// www.w3.org/TR/1999/REC-html401-19991224/>。
[Aircrack-ng] d'Otreppe, T., "Aircrack-ng", Accessed: 11-Jul-2010, <http://www.aircrack-ng.org/>.
[Aircrack-ng] d'Otreppe、T。、「Aircrack-ng」、アクセス:2010年7月11日、<http://www.aircrack-ng.org/>。
[BeckTews09] Beck, M. and E. Tews, "Practical Attacks Against WEP and WPA", Second ACM Conference on Wireless Network Security Zurich, Switzerland, 2009, <http://dl.acm.org/citation.cfm?id=1514286>.
[BeckTews09] Beck、M。およびE. Tews、「WEPおよびWPAに対する実際的な攻撃」、第2回ワイヤレスネットワークセキュリティに関するACM会議、チューリッヒ、スイス、2009年、<http://dl.acm.org/citation.cfm?id = 1514286>。
[CWE-113] "CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')", Common Weakness Enumeration <http://cwe.mitre.org/>, The Mitre Corporation <http://www.mitre.org/>, <http://cwe.mitre.org/data/definitions/113.html>.
[CWE-113]「CWE-113:HTTPヘッダーのCRLFシーケンスの不適切な中和( 'HTTP応答分割')」、Common Weakness Enumeration <http://cwe.mitre.org/>、The Mitre Corporation <http:/ /www.mitre.org/>、<http://cwe.mitre.org/data/definitions/113.html>。
[Firesheep] Various, "Firesheep", Wikipedia Online, ongoing, <https:// secure.wikimedia.org/wikipedia/en/w/ index.php?title=Firesheep&oldid=517474182>.
[Firesheep]さまざま、「Firesheep」、Wikipedia Online、進行中、<https:// secure.wikimedia.org/wikipedia/en/w/ index.php?title = Firesheep&oldid = 517474182>。
[ForceHTTPS] Jackson, C. and A. Barth, "ForceHTTPS: Protecting High-Security Web Sites from Network Attacks", In Proceedings of the 17th International World Wide Web Conference (WWW2008) , 2008, <https://crypto.stanford.edu/forcehttps/>.
[ForceHTTPS]ジャクソン、C。およびA.バース、「ForceHTTPS:Protecting High-Security Web Sites from Network Attacks」、Proceedings in the 17th International World Wide Web Conference(WWW2008)、2008、<https://crypto.stanford .edu / forcehttps />。
[GoodDhamijaEtAl05] Good, N., Dhamija, R., Grossklags, J., Thaw, D., Aronowitz, S., Mulligan, D., and J. Konstan, "Stopping Spyware at the Gate: A User Study of Privacy, Notice and Spyware", In Proceedings of Symposium On Usable Privacy and Security (SOUPS) Pittsburgh, PA, USA, July 2005, <http://www.law.berkeley.edu/files/ Spyware_at_the_Gate.pdf>.
[GoodDhamijaEtAl05] Good、N.、Dhamija、R.、Grossklags、J.、Thaw、D.、Aronowitz、S.、Mulligan、D.、and J. Konstan、 "Stoping Spyware at the Gate:A User Study of Privacy 、Notice and Spyware」、Proceedings of Symposium On Usable Privacy and Security(SOUPS)Pittsburgh、PA、USA、2005年7月、<http://www.law.berkeley.edu/files/ Spyware_at_the_Gate.pdf>。
[HTTP1_1-UPD] Fielding, R., Ed., and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing", Work in Progress, October 2012.
[HTTP1_1-UPD] Fielding、R。、編、およびJ. Reschke、編、「Hypertext Transfer Protocol(HTTP / 1.1):Message Syntax and Routing」、Work in Progress、2012年10月。
[JacksonBarth2008] Jackson, C. and A. Barth, "Beware of Finer-Grained Origins", Web 2.0 Security and Privacy Workshop, Oakland, CA, USA, 2008, <http://seclab.stanford.edu/websec/origins/fgo.pdf>.
[JacksonBarth2008]ジャクソン、CおよびA.バース、「細かい起源に注意」、Web 2.0セキュリティおよびプライバシーワークショップ、カリフォルニア州オークランド、2008年、<http://seclab.stanford.edu/websec/origins /fgo.pdf>。
[OWASP-TLSGuide] Coates, M., Wichers, D., Boberski, M., and T. Reguly, "Transport Layer Protection Cheat Sheet", Accessed: 11-Jul-2010, <http://www.owasp.org/index.php/ Transport_Layer_Protection_Cheat_Sheet>.
[OWASP-TLSGuide] Coates、M.、Wichers、D.、Boberski、M。、およびT. Reguly、「Transport Layer Protection Cheat Sheet」、Accessed:11-Jul-2010、<http://www.owasp。 org / index.php / Transport_Layer_Protection_Cheat_Sheet>。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[RFC1035] Mockapetris、P。、「ドメイン名-実装と仕様」、STD 13、RFC 1035、1987年11月。
[RFC2560] Myers, M., Ankney, R., Malpani, A., Galperin, S., and C. Adams, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", RFC 2560, June 1999.
[RFC2560]マイヤーズ、M。、アンクニー、R。、マルパニ、A。、ガルペリン、S。、およびC.アダムス、「X.509インターネット公開鍵インフラストラクチャオンライン証明書ステータスプロトコル-OCSP」、RFC 2560、1999年6月。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、2005年3月。
[RFC4732] Handley, M., Rescorla, E., and IAB, "Internet Denial-of-Service Considerations", RFC 4732, December 2006.
[RFC4732] Handley、M.、Rescorla、E。、およびIAB、「インターネットサービス拒否の考慮事項」、RFC 4732、2006年12月。
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, August 2007.
[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、RFC 4949、2007年8月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、2008年5月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月。
[RFC5894] Klensin, J., "Internationalized Domain Names for Applications (IDNA): Background, Explanation, and Rationale", RFC 5894, August 2010.
[RFC5894] Klensin、J。、「アプリケーションの国際化ドメイン名(IDNA):背景、説明、および理論的根拠」、RFC 5894、2010年8月。
[RFC5905] Mills, D., Martin, J., Burbank, J., and W. Kasch, "Network Time Protocol Version 4: Protocol and Algorithms Specification", RFC 5905, June 2010.
[RFC5905] Mills、D.、Martin、J.、Burbank、J。、およびW. Kasch、「Network Time Protocol Version 4:Protocol and Algorithms Specification」、RFC 5905、2010年6月。
[RFC6066] Eastlake, D., "Transport Layer Security (TLS) Extensions: Extension Definitions", RFC 6066, January 2011.
[RFC6066] Eastlake、D。、「Transport Layer Security(TLS)Extensions:Extension Definitions」、RFC 6066、2011年1月。
[RFC6101] Freier, A., Karlton, P., and P. Kocher, "The Secure Sockets Layer (SSL) Protocol Version 3.0", RFC 6101, August 2011.
[RFC6101] Freier、A.、Karlton、P。、およびP. Kocher、「Secure Sockets Layer(SSL)Protocol Version 3.0」、RFC 6101、2011年8月。
[RFC6125] Saint-Andre, P. and J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, March 2011.
[RFC6125] Saint-Andre、P。およびJ. Hodges、「トランスポート層セキュリティ(TLS)のコンテキストでX.509(PKIX)証明書を使用したインターネット公開鍵インフラストラクチャ内のドメインベースのアプリケーションサービスIDの表現と検証」、 RFC 6125、2011年3月。
[RFC6265] Barth, A., "HTTP State Management Mechanism", RFC 6265, April 2011.
[RFC6265]バース、A。、「HTTP状態管理メカニズム」、RFC 6265、2011年4月。
[RFC6454] Barth, A., "The Web Origin Concept", RFC 6454, December 2011.
[RFC6454]バース、A。、「The Web Origin Concept」、RFC 6454、2011年12月。
[SunshineEgelmanEtAl09] Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N., and L. Cranor, "Crying Wolf: An Empirical Study of SSL Warning Effectiveness", In Proceedings of 18th USENIX Security Symposium Montreal, Canada, August 2009, <http:// www.usenix.org/events/sec09/tech/full_papers/ sunshine.pdf>.
[SunshineEgelmanEtAl09] Sunshine、J.、Egelman、S.、Almuhimedi、H.、Atri、N。、およびL. Cranor、「Crying Wolf:An Empirical Study of SSL Warning Effectiveness」、第18回USENIXセキュリティシンポジウムモントリオール、カナダ、2009年8月、<http:// www.usenix.org/events/sec09/tech/full_papers/ sunshine.pdf>。
[W3C.REC-wsc-ui-20100812] Roessler, T. and A. Saldhana, "Web Security Context: User Interface Guidelines", World Wide Web Consortium Recommendation REC-wsc-ui-20100812, August 2010, <http://www.w3.org/TR/2010/REC-wsc-ui-20100812>.
[W3C.REC-wsc-ui-20100812] Roessler、T。およびA. Saldhana、「Web Security Context:User Interface Guidelines」、World Wide Web Consortium Recommendation REC-wsc-ui-20100812、2010年8月、<http:/ /www.w3.org/TR/2010/REC-wsc-ui-20100812>。
[WebTracking] Schmucker, N., "Web Tracking", SNET2 Seminar Paper - Summer Term, 2011, <http://www.snet.tu-berlin.de/ fileadmin/fg220/courses/SS11/snet-project/ web-tracking_schmuecker.pdf>.
[WebTracking] N. Schmucker、「Web Tracking」、SNET2セミナーペーパー-2011年夏学期、<http://www.snet.tu-berlin.de/ fileadmin / fg220 / courses / SS11 / snet-project / web -tracking_schmuecker.pdf>。
This appendix documents various design decisions.
この付録には、さまざまな設計上の決定事項が記載されています。
1. Cookies aren't appropriate for HSTS Policy expression, as they are potentially mutable (while stored in the UA); therefore, an HTTP header field is employed.
1. Cookieは(UAに保存されている間)変更される可能性があるため、HSTSポリシーの表現には適していません。したがって、HTTPヘッダーフィールドが使用されます。
2. We chose to not attempt to specify how "mixed security context loads" (also known as "mixed content loads") are handled, due to UA implementation considerations as well as classification difficulties.
2. UAの実装に関する考慮事項と分類の問題のため、「混合セキュリティコンテキストロード」(「混合コンテンツロード」とも呼ばれる)の処理方法を指定しないように選択しました。
3. An HSTS Host may update UA notions of HSTS Policy via new HSTS header field parameter values. We chose to have UAs honor the "freshest" information received from a server because there is the chance of a web site sending out an erroneous HSTS Policy, such as a multi-year max-age value, and/or an incorrect includeSubDomains directive. If the HSTS Host couldn't correct such errors over protocol, it would require some form of annunciation to users and manual intervention on the users' part, which could be a non-trivial problem for both web application providers and their users.
3. HSTSホストは、新しいHSTSヘッダーフィールドパラメータ値を介してHSTSポリシーのUA概念を更新できます。複数年のmax-age値や不正なincludeSubDomainsディレクティブなどの誤ったHSTSポリシーをWebサイトが送信する可能性があるため、UAがサーバーから受信した「最新の」情報を尊重することを選択しました。 HSTSホストがプロトコルを介してそのようなエラーを修正できなかった場合、ユーザーへの何らかの告知とユーザー側での手動介入が必要になります。これは、Webアプリケーションプロバイダーとユーザーの両方にとって重要な問題となる可能性があります。
4. HSTS Hosts are identified only via domain names -- explicit IP address identification of all forms is excluded. This is for simplification and also is in recognition of various issues with using direct IP address identification in concert with PKI-based security.
4. HSTSホストはドメイン名によってのみ識別されます-すべての形式の明示的なIPアドレス識別は除外されます。これは簡略化のためであり、PKIベースのセキュリティと連携して直接IPアドレス識別を使用する場合のさまざまな問題も認識されています。
5. The max-age approach of having the HSTS Host provide a simple integer number of seconds for a cached HSTS Policy time-to-live value, as opposed to an approach of stating an expiration time in the future, was chosen for various reasons. Amongst the reasons are no need for clock synchronization, no need to define date and time value syntaxes (specification simplicity), and implementation simplicity.
5. HSTSホストにキャッシュされたHSTSポリシーの存続時間の値に単純な整数秒数を提供する最大エージングアプローチは、さまざまな理由から、将来の有効期限を示すアプローチとは対照的に選択されました。理由の1つは、クロック同期の必要性、日付と時刻の値の構文(仕様の単純化)、および実装の単純化を定義する必要がないことです。
6. In determining whether port mapping was to be employed, the option of merely refusing to dereference any URL with an explicit port was considered. It was felt, though, that the possibility that the URI to be dereferenced is incorrect (and there is indeed a valid HTTPS server at that port) is worth the small cost of possibly wasted HTTPS fetches to HTTP servers.
6. ポートマッピングを使用するかどうかを決定する際、明示的なポートを持つURLの逆参照を単に拒否するオプションが検討されました。ただし、逆参照されるURIが正しくない可能性があること(そして実際にそのポートに有効なHTTPSサーバーがあること)は、HTTPサーバーへのHTTPSフェッチを無駄にする可能性があるというわずかなコストに見合う価値があると感じられました。
HSTS Policy has the following primary characteristics:
HSTSポリシーの主な特徴は次のとおりです。
HSTS Policy stipulates requirements for the security characteristics of UA-to-host connection establishment, on a per-host basis.
HSTSポリシーは、ホストごとに、UAからホストへの接続確立のセキュリティ特性の要件を規定しています。
Hosts explicitly declare HSTS Policy to UAs. Conformant UAs are obliged to implement hosts' declared HSTS Policies.
ホストは、UAにHSTSポリシーを明示的に宣言します。適合UAは、ホストが宣言したHSTSポリシーを実装する義務があります。
HSTS Policy is conveyed over protocol from the host to the UA.
HSTSポリシーは、プロトコルを介してホストからUAに伝達されます。
The UA maintains a cache of Known HSTS Hosts.
UAは既知のHSTSホストのキャッシュを維持します。
UAs apply HSTS Policy whenever making an HTTP connection to a Known HSTS Host, regardless of host port number; i.e., it applies to all ports on a Known HSTS Host. Hosts are unable to affect this aspect of HSTS Policy.
UAは、ホストポート番号に関係なく、既知のHSTSホストへのHTTP接続を確立するたびにHSTSポリシーを適用します。つまり、既知のHSTSホスト上のすべてのポートに適用されます。ホストはHSTSポリシーのこの側面に影響を与えることができません。
Hosts may optionally declare that their HSTS Policy applies to all subdomains of their host domain name.
ホストはオプションで、HSTSポリシーがホストドメイン名のすべてのサブドメインに適用されることを宣言できます。
In contrast, the Same-Origin Policy (SOP) [RFC6454] has the following primary characteristics:
対照的に、Same-Origin Policy(SOP)[RFC6454]には次の主要な特徴があります。
An origin is the scheme, host, and port of a URI identifying a resource.
オリジンは、リソースを識別するURIのスキーム、ホスト、およびポートです。
A UA may dereference a URI, thus loading a representation of the resource the URI identifies. UAs label resource representations with their origins, which are derived from their URIs.
UAはURIを逆参照する可能性があるため、URIが識別するリソースの表現をロードします。 UAは、リソースの表現に、そのURIから派生したオリジンをラベル付けします。
The SOP refers to a collection of principles, implemented within UAs, governing the isolation of and communication between resource representations within the UA, as well as resource representations' access to network resources.
SOPは、UA内に実装され、UA内のリソース表現の分離と通信、およびリソース表現のネットワークリソースへのアクセスを管理する原則の集まりを指します。
In summary, although both HSTS Policy and SOP are enforced by UAs, HSTS Policy is optionally declared by hosts and is not origin-based, while the SOP applies to all resource representations loaded from all hosts by conformant UAs.
要約すると、HSTSポリシーとSOPの両方がUAによって適用されますが、HSTSポリシーはホストによってオプションで宣言され、オリジンベースではありませんが、SOPは、準拠するUAによってすべてのホストからロードされるすべてのリソース表現に適用されます。
The authors thank Devdatta Akhawe, Michael Barrett, Ben Campbell, Tobias Gondrom, Paul Hoffman, Murray Kucherawy, Barry Leiba, James Manger, Alexey Melnikov, Haevard Molland, Yoav Nir, Yngve N. Pettersen, Laksh Raghavan, Marsh Ray, Julian Reschke, Eric Rescorla, Tom Ritter, Peter Saint-Andre, Brian Smith, Robert Sparks, Maciej Stachowiak, Sid Stamm, Andy Steingrubl, Brandon Sterne, Martin Thomson, Daniel Veditz, and Jan Wrobel, as well as all the websec working group participants and others for their various reviews and helpful contributions.
著者は、Devdatta Akhawe、Michael Barrett、Ben Campbell、Tobias Gondrom、Paul Hoffman、Murray Kucherawy、Barry Leiba、James Manger、Alexey Melnikov、Haevard Molland、Yoav Nir、Yngve N. Pettersen、Laksh Raghavan、Marsh Ray、Julian Reschke、 Eric Rescorla、Tom Ritter、Peter Saint-Andre、Brian Smith、Robert Sparks、Maciej Stachowiak、Sid Stamm、Andy Steingrubl、Brandon Sterne、Martin Thomson、Daniel Veditz、Jan Wrobel、およびすべてのwebsecワーキンググループ参加者とその他彼らの様々なレビューと有益な貢献のために。
Thanks to Julian Reschke for his elegant rewriting of the effective request URI text, which he did when incorporating the ERU notion into the updates to HTTP/1.1 [HTTP1_1-UPD]. Subsequently, the ERU text in this spec was lifted from Julian's work in the updated HTTP/1.1 (part 1) specification and adapted to the [RFC2616] ABNF.
有効なリクエストURIテキストをエレガントに書き換えてくれたJulian Reschkeに感謝します。これは、HTTP / 1.1 [HTTP1_1-UPD]への更新にERUの概念を組み込むときに行いました。その後、この仕様のERUテキストは、更新されたHTTP / 1.1(パート1)仕様でのJulianの作業から引き上げられ、[RFC2616] ABNFに適合しました。
Authors' Addresses
著者のアドレス
Jeff Hodges PayPal 2211 North First Street San Jose, California 95131 US
Jeff Hodges PayPal 2211 North First Street San Jose、California 95131 US
EMail: Jeff.Hodges@PayPal.com
メール:Jeff.Hodges@PayPal.com
Collin Jackson Carnegie Mellon University
コリンジャクソンカーネギーメロン大学
EMail: collin.jackson@sv.cmu.edu
メール:collin.jackson@sv.cmu.edu
Adam Barth Google, Inc.
Adam Barth Google、Inc.
EMail: ietf@adambarth.com
URI: http://www.adambarth.com/