HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) は、プレーンテキスト HTTP ではなく HTTPS (セキュア通信) を使用するよう強制する標準メカニズムであり、RFC 6797 で定義されています。

HSTS をサポートする Web ブラウザーおよびその他のクライアントは、HSTS が有効になっているサーバーのリストを管理し、それらのサーバーにプレーン HTTP を使用して接続することを拒否します。クライアントは、「プリロード リスト」を使用するか、Strict-Transport-Security ヘッダーを含む HTTP 応答をサーバーから受信することにより、どのサーバーが HSTS を有効にしているかを学習します。

HSTS は主に、サーバーが HTTP と HTTPS の両方をサポートしており、クライアントが誤って、またはだまされて HTTP で接続する可能性がある、従来の Web 閲覧のユース ケースで役立ちます。COBOL Server では通常、HSTS は目的を果たしません。これは、プレーンテキスト HTTP リスナーと TLS 対応 HTTPS リスナーの両方を同じ目的で使用する COBOL Server コンポーネントを構成する組織が非常に少ないためです。したがって、TLS が有効になっている場合、プレーンテキスト HTTP は使用できないため、クライアントがプレーンテキスト HTTP で接続する危険はありません。

また、HSTS は、従来の Web 閲覧以外のユース ケースでは適切に機能しません。特に、標準の 80 (プレーンテキスト HTTP の場合) および 443 (HTTPS の場合) 以外のポートが使用されるユース ケースには適切に対応できません。また、ドメイン内に HSTS が有効な Web サーバーと非 HTTPS の Web サーバーが混在している場合、HSTS 設定により HSTS が無効なサーバーへの接続をブラウザーが拒否する可能性があるため、問題が発生することがあります。

これらの理由から、Micro Focus では、COBOL Server で HSTS を使用しないことをお勧めします。

ただし、組織によっては、すべての Web サーバーで HSTS を有効にするという包括的なルールがある場合や、セキュリティ監査人の納得を得るために HSTS を有効にすることが必要な場合があります。

COBOL Server 5.0 (Patch Update 12 以降)、6.0 (Patch Update 2 以降)、およびそれ以降のリリースでは、HSTS が次のようにサポートされています。

• Enterprise Server Common Web Administration (ESCWA)：TLS 対応の場合、HSTS を自動的に有効にします。
• Enterprise Server Monitor and Control (ESMAC) および COBOL Web サービス：どちらも、「Web サービスおよび J2EE」対話タイプを使用するリスナーによって処理されます(COBOL Server リージョンで「SOAP および J2EE (レガシ)」対話タイプが使用されている場合は、「Web サービスおよび J2EE」に変更してください)。これらのリスナーに対して HSTS を有効にするには、リスナーの構成テキスト領域に次を追加します。

  [Response Headers]
  Strict-Transport-Security=max-age=31536000; includeSubDomains

  Strict-Transport-Security ヘッダーの値の詳細については、「RFC 6797」を参照してください。

• COBOL サービス ディプロイ：この機能は、HSTS を現在サポートしていない「Web」対話タイプによって提供されます。Micro Focus では、プロダクション サーバーに対してサービス ディプロイを有効にしないことを強くお勧めします。「サービス インターフェイスのディプロイのセキュリティ考慮事項」を参照してください。
• Micro Focus Enterprise Server Administration (MFDS)：このコンポーネントでは、HSTS は現在サポートされていません。Micro Focus では、MFDS Web ユーザー インターフェイスを無効にするか、ローカル接続に制限し (現在はデフォルト)、代わりに ESCWA を使用することをお勧めします。