95%のHTTPSサーバが中間者攻撃に対して脆弱 - Netcraft

HTTPでアクセスを試みるとHTTPSへリダイレクトされるわけだが、こうした状況が中間者攻撃を受けやすい状況を生み出していると説明がある。攻撃者は最初のHTTPリクエストをハイジャックし、HTTPSへのリダイレクトを阻害するとのことだ。

HTTPトラフィックをハイジャックしてHTTPSへのリンクをHTTPへ置き換えるといった処理を自動的に実施するツールがすでに存在しており、注意が必要だ。Netcraftでは適切にHSTSポリシーを設定することでこうした危険性を低減できるとし、その設定もHTTPレスポンスヘッダに適切な項目を追加するだけだと説明している。最近の主要ブラウザはHSTSの機能を実装しているものの、サーバ側でのサポートが5%にとどまっているため、HSTSの活用を推奨している。