寝ても覚めてもこんぴうた

プログラム書いたり、ネットワーク設計したり、サーバ構築したり、車いじったり、ゲームしたり。そんなひとにわたしはなりたい。 投げ銭は kyash_id : chidakiyo マデ

Chrome の HSTS 状態を確認する

Security

f:id:chidakiyo:20210205111332j:plain

HSTS ってなに?

HTTP の Strict-Transport-Security。HSTSと略されます。

ウェブサイトがブラウザに対してHTTPSの代わりにHTTPSを用いて通信をする用に指示するためのもの。
HTTPからHTTPSにリダイレクトする際に中間者攻撃の機会を作ってしまうリスクがあるため、
ブラウザ側に、「http:// と打ち込まれても https:// でアクセスしてくださいね」とおぼえさせるための機能です。

Chrome, Firefox, Safari の場合にはブラウザ側ですでにHSTSドメインを認識している(登録されている)プリロードHSTSというものもあります。
(.app, .dev ドメインなどは最初からプリロードHSTSドメインです。httpアクセスができません。)

そのHSTSという機能はブラウザ側が覚えるものなので、時折状態をチェックしたいということがあると思いますので、その方法を下記します。

Chrome 上で HSTS が有効になっているかチェックする

Chrome で HSTS 状態を確認する場合には以下のURLを入力します

chrome://net-internals/#hsts

特定のドメインの HSTS 状態を確認する

上から2段目あたりの Query HSTS/PKP domain の項目の、
Domain: と書かれた入力エリアに調べたいドメインを入力し、 Query ボタンを押して調べます。

HSTS がChrome上で有効になっていないドメインだと Not found と表示されます。
HSTS がChrome上で有効になっているサイトだと各種項目が表示されます。

f:id:chidakiyo:20210205111202p:plain

HSTS を無効化したい場合

検証のために、一時的にHSTSを無効化したい場合などがあると思います。
その場合には一番下の Delete domain security policitsドメインを入力し、実行します。
(ちなみに、当たり前ではありますがプリロードHSTSドメインは削除できません)

ドメインに対するHSTS設定を削除しても、そのドメインのサイトにアクセスし、再度HSTSヘッダを受信すると、
ブラウザにHSTSドメインとして認識(登録)されてしまいますので、ご注意を。

ではでは。

参考

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security