対象プラン
本記事は、自動診断機能の発見課題「安全でないHTTPSリダイレクトパターン/Insecure HTTPS redirect pattern」について、SecurityScorecard社が公開している解説記事の日本語訳です。
本課題の解決にご活用ください。
「安全でないHTTPSリダイレクトパターン」について│修正方法│解決申請の流れ
1. 「安全でないHTTPSリダイレクトパターン」について
最初のHTTPリクエストに対し、異なるドメインのHTTPSのサイトにリダイレクトされた場合、「安全でないHTTPSリダイレクトパターン」が課題として検出されます。
※SecurityScorecardでは、wwwなどサブドメインのサイトにHTTPSリダイレクトした場合でも、異なるドメインであるとみなします。
注意
最初のHTTPリクエストに対して、異なるドメインのサイトにHTTPSリダイレクトされている場合
- 例1:http://example.com → https://www.example.com
- 例2:http://example.com → https://example.co.jp
たとえ事前に、以下の修正方法②(異なるドメインにリダイレクトする場合)を実施いただいている場合でも、本課題は必ず検出されます。
その際には、解決申請(代替管理策で対処済み)をご提出いただくことで本課題が解消なされます。
最初のHTTPリクエストと異なるドメインのHTTPSサイトにリダイレクトした場合には、ブラウザは最初にアクセスしたドメインのHSTSヘッダを受信できなくなります。
※ 安全でないHTTPSリダイレクトの脅威の詳細については、こちらをご参照下さい。
2. 修正方法
■修正方法①(同じドメインにリダイレクトさせる方法)
HTTPを受け付けるサイトは、最初にリクエストしたドメインと同じドメインにHTTPSリダイレクトする必要があります。
※例えば、http://example.comのHTTPSリダイレクトは以下のように設定する必要があります。
- 〇:http://example.com → https://example.com
- ×:http://example.com → https://www.example.com
(サブドメインにリダイレクトする場合には、修正方法②を参照ください)
リダイレクトの検証は、リダイレクトチェッカーやコマンドラインからcURLを用いて実施ください。
※ コマンドラインからcURLを用いたリダイレクトの検証例
curl -IL http://example.com
■修正方法②(異なるドメインにリダイレクトさせる場合)
最初のHTTPリクエストに対し、異なるドメインにHTTPSリダイレクトさせる場合には、最終URLに対して、HSTS(includeSubDomains)を設定する必要があります。
HSTSの検証はこちらのツールを用いて実施ください。
※SecurityScorecardでは、302ではなく301リダイレクトを推奨します(302でも可)
3. 解決申請の流れ
解決申請する際、解決方法を以下の3つより選択して申請をしてください。
解決申請の提出方法は、こちらをご参照ください。
- 発生している課題に対処済み(I have fixed this)→修正方法①の場合
- 初期URLと同じドメインであるURLにHTTPリダイレクトさせた場合には、本解決申請を提出してください。
- 代替管理策で対処済み(I have compensating control)→修正方法②の場合
- 最終URLが初期URLと異なるドメインの場合、最終URLには ”includeSubDomains” を指定したHSTSを設定する必要があります。
- 「HSTS(includeSubDomains)を設定済み」である旨のコメントに記載し、本解決申請を提出してください。
- 誤検知であった(I cannot reproduce this issue and I think it's incorrect)
- リダイレクトチェッカーまたはcURLのコマンドラインでの検証の上、誤検知であると考えられる場合はこのオプションをご選択ください。
Tips
検出された発見課題に紐づいたドメイン/IPアドレスが自社保有の資産ではない場合、登録されているデジタルフットプリントに自社が保有していない(自社管理外の)資産が登録されている可能性があります。
以下資料の[ Step.2 デジタルフットプリントの精査 ]ご確認いただき、デジタルフットプリントの精緻化を推奨いたします。