HSTS - HTTP Strict Transport Security, 307 Response

HTTP Strict-Transport-Security response header는 웹사이트가 웹 브라우저에게 HTTP 대신 HTTPS만을 사용하여 통신해야한다고 알리는 보안 기능을 말한다.

Web Server와 Web Browser가 모두 지원해야하며, 2010년도 이후 업데이트 된 브라우저라면 지원 된다고 보면 된다.

 

Apple, Google, Twitter, Amazon 같은 주요 사이트들은 브라우저에 기본으로 주소가 등록되어 자동으로 HTTPS로 연결이 되며, 그렇지 않은 경우 HTTP로 접속 시 서버에서 HTTPS로 접속하라고 HSTS 헤더를 전송하게 된다. 즉, 미리 등록된 사이트가 아니라면 최초 접속 이후부터 적용이 되는 것이다.

이렇게 자동 등록된 HSTS를 'Preloaded HSTS Lists'라고 한다는데... 내 브라우저엔 등록이 안 된 것 같다 -_-;;

 

기존에도 HTTP로 접속 시 웹 서버에서 HTTPS Redirection 응답을 보내는데 뭐가 다를까?

301, 302 Redirect은 서버에서 전송하는 것이다. 즉, 중간에 프록시가 있어 가로채더라도 클라이언트는 알 수가 없다. 하지만 HSTS를 사용하는 경우 307 Redirect를 하게 되는데 이는 브러우저 단에서 일어나는 Redirect이기 때문에 중간에 변조될 위험 없이 브라우저에서 바로 HTTPS로 접속을 보내게 된다.

 

Reference : www.searchenginejournal.com/google-on-307-hsts-redirects-http-to-https/386232/#close

Google on 307/HSTS Redirects (HTTP to HTTPS)

 

Tag. hsts header, hsts 헤더, HSTS header, HSTS 헤더