HTTP Strict Transport Security (HSTS) は、プレーンテキスト HTTP ではなく HTTPS (セキュア通信) を使用するよう強制する標準メカニズムであり、RFC 6797 で定義されています。
HSTS をサポートする Web ブラウザーおよびその他のクライアントは、HSTS が有効になっているサーバーのリストを管理し、それらのサーバーにプレーン HTTP を使用して接続することを拒否します。クライアントは、「プリロード リスト」を使用するか、Strict-Transport-Security ヘッダーを含む HTTP 応答をサーバーから受信することにより、どのサーバーが HSTS を有効にしているかを学習します。
HSTS は主に、サーバーが HTTP と HTTPS の両方をサポートしており、クライアントが誤って、またはだまされて HTTP で接続する可能性がある、従来の Web 閲覧のユース ケースで役立ちます。Enterprise Server では通常、HSTS は目的を果たしません。これは、プレーンテキスト HTTP リスナーと TLS 対応 HTTPS リスナーの両方を同じ目的で使用する Enterprise Server コンポーネントを構成する組織が非常に少ないためです。したがって、TLS が有効になっている場合、プレーンテキスト HTTP は使用できないため、クライアントがプレーンテキスト HTTP で接続する危険はありません。
また、HSTS は、従来の Web 閲覧以外のユース ケースでは適切に機能しません。特に、標準の 80 (プレーンテキスト HTTP の場合) および 443 (HTTPS の場合) 以外のポートが使用されるユース ケースには適切に対応できません。また、ドメイン内に HSTS が有効な Web サーバーと非 HTTPS の Web サーバーが混在している場合、HSTS 設定により HSTS が無効なサーバーへの接続をブラウザーが拒否する可能性があるため、問題が発生することがあります。
これらの理由から、Micro Focus では、Enterprise Server で HSTS を使用しないことをお勧めします。
ただし、組織によっては、すべての Web サーバーで HSTS を有効にするという包括的なルールがある場合や、セキュリティ監査人の納得を得るために HSTS を有効にすることが必要な場合があります。
Enterprise Server 5.0 (Patch Update 12 以降)、6.0 (Patch Update 2 以降)、およびそれ以降のリリースでは、HSTS が次のようにサポートされています。
[Response Headers] Strict-Transport-Security=max-age=31536000; includeSubDomains
Strict-Transport-Security ヘッダーの値の詳細については、「RFC 6797」を参照してください。