HSTS (HTTP Strict Transport Security)란?

HSTS (HTTP Strict Transport Security)란?

 

※ HSTS란?

– 웹 브라우저가 https 프로토콜만을 사용해서 서버와 통신하도록 강제하는 기능

– 일정 시간(max-age) 동안 HSTS 응답을 받은 웹 사이트에 대해서 https 접속을 강제화

– https 접속이 실패하는 경우 사이트 접근에 실패

​

​

※ HSTS가 왜 필요한가?

– 서버측에서 https로 접속하는 것만 허용하는 상황에서 HSTS를 사용하지 않을 경우에

클라이언트가 http로 접속하면 서버측에서 302 Redirect를 이용해 https로 접속하도록 전환시켜 줄 수 있다.

그러나, 이미 http로 접속 시도를 했기 때문에 공격자가 MITM 공격, 패킷 캡쳐 등을 통해 민감한 정보들(쿠키, 세

션 id 등)을 취득할 수 있다.

– 따라서 클라이언트가 최초로 사이트에 접속 시도를 할 때 웹 서버가 HTTP 응답 헤더 필드에 ‘Strict-Transport-

Security’라는 필드를 넘겨준다. 그러면 브라우저는 그 사이트에 접속할 때 무조건 https로만 접속할 수 있도록

하는 것이 HSTS이다.