メインコンテンツへ
セキュリティ

HSTSヘッダ「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」のmax-ageの意味として正しいものはどれか。

ア.max-ageで指定した期間(秒数)、ブラウザは自動的にHTTPS接続を強制する正解
イ.max-ageで指定した期間は証明書の有効期限を表す
ウ.max-ageを超えた古いリクエストは自動的にブロックされる
エ.max-ageはHTTP接続を許可する最大の時間を表す

解説

HSTSのmax-ageは「このサイトはHTTPS専用と覚えておく期間」を指定する設定。31536000秒=1年間、ブラウザは自動的にHTTPをHTTPSに置き換える。

なぜ ア が正解か

HSTS(HTTP Strict Transport Security)のmax-ageは、ブラウザがそのドメインに対してHTTPSを強制する期間(秒数)を指定する。31536000秒=1年間。ブラウザはこの期間内に同ドメインへHTTPでアクセスしようとすると、自動的にHTTPSに変換する(307リダイレクトではなくブラウザ内部で処理)。

なぜ イ は間違いか

max-ageはHSTSポリシーの有効期間であり、SSL証明書の有効期限ではない。証明書の期限は証明書自体に含まれる。

なぜ ウ は間違いか

max-ageを超えた古いリクエストをブロックする機能はない。max-ageが過ぎればHSTSポリシーが失効するだけ。

なぜ エ は間違いか

HSTSの目的はHTTPS強制であり、HTTP接続を「許可する」ためのものではなく、「禁止する」期間を設定する。

出典: AI生成問題(学習用)