HTTP 스트릭트 트랜스포트 시큐리티

HTTP 스트릭트 트랜스포트 시큐리티(HTTP Strict Transport Security, HSTS)는 프로토콜 다운그레이드 공격,^[1] 쿠키 하이재킹 등 중간자 공격으로부터 웹사이트를 보호하는 데 도움이 되는 정책 메커니즘이다. 이를 통해 웹 서버는 단독으로 사용되는 안전하지 않은 HTTP와 달리 웹 브라우저(또는 기타 호환 사용자 에이전트)가 TLS/SSL(전송 계층 보안)을 제공하는 HTTPS 연결만 사용하여 자동으로 상호 작용해야 한다고 선언할 수 있다. HSTS는 IETF 표준 트랙 프로토콜이며 RFC 6797에 지정되어 있다.

HSTS 정책은 Strict-Transport-Security라는 HTTP 응답 헤더 필드를 통해 서버에서 사용자 에이전트로 전달된다. HSTS 정책은 사용자 에이전트가 안전한 방식으로만 서버에 액세스해야 하는 기간을 지정한다.^[2] HSTS를 사용하는 웹사이트는 HTTP를 통한 연결을 거부하거나 시스템적으로 사용자를 HTTPS로 리디렉션하여 일반 텍스트 HTTP를 허용하지 않는 경우가 많다(사양에서 요구하는 것은 아니지만). 그 결과 TLS를 수행할 수 없는 사용자 에이전트는 사이트에 연결할 수 없게 된다.

이 보호는 "처음 사용에 대한 신뢰" 원칙에 따라 사용자가 사이트를 한 번 이상 방문한 후에만 적용된다. 이 보호 기능의 작동 방식은 사용자가 해당 사이트에 HTTP(HTTPS가 아님) URL을 입력하거나 선택하면 웹 브라우저와 같은 클라이언트가 HTTP 요청을 하지 않고도 자동으로 HTTPS로 업그레이드되어 HTTP 조작을 방지하는 것이다. 중간 공격이 발생하지 않도록 한다.

같이 보기[편집]

각주[편집]

↑ “Strict-Transport-Security”. 《MDN Web Docs》 (미국 영어). Mozilla. 2020년 3월 20일에 원본 문서에서 보존된 문서. 2018년 1월 31일에 확인함.
↑ Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). "HSTS Policy". HTTP Strict Transport Security (HSTS). IETF. sec. 5.2. RFC 6797. https://tools.ietf.org/html/rfc6797#section-5.2.

외부 링크[편집]

RFC 6797 – HTTP Strict Transport Security (HSTS)
IETF WebSec Working Group
Security Now 262: Strict Transport Security
Open Web Application Security Project (OWASP): HSTS description
Online browser HSTS and Public Key Pinning test
HSTS Preload Submission for Google Chrome, Mozilla Firefox, Safari, IE 11, and Edge
Chromium HSTS Preloaded list
Strict-Transport-Security on MDN Web Docs

[mdn-security-1] “Strict-Transport-Security”. 《MDN Web Docs》 (미국 영어). Mozilla. 2020년 3월 20일에 원본 문서에서 보존된 문서. 2018년 1월 31일에 확인함.

[hsts-policy-2] Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). "HSTS Policy". HTTP Strict Transport Security (HSTS). IETF. sec. 5.2. RFC 6797. https://tools.ietf.org/html/rfc6797#section-5.2.

[1]

[2]