HSTSとは何ですか?また、私たちのサイトでHSTSをどのように有効にしますか?
環境:
HSTS (HTTP Strict Transport Security)
Oracle B2C Service, 全てのバージョン
カスタムドメイン SSLを使用するサイト
問題:
HSTS(HTTP Strict Transport Security)とは何か、またどのようにサイトでこれを有効にできるか知りたい
解決策:
HSTSはHTTP Strict Transport Securityの略で、クライアントデバイスとサーバー間のすべてのトランザクションに対して、さまざまな手段でのみHTTPSの使用を要求することにより、悪意のあるアクティビティからWebサイトをさらに保護するのに役立ちます。 これは、カスタマーポータルでのエンドユーザーのエクスペリエンスと、管理コンソールのエージェントのインスタンスに適用されます。 HSTSは、クライアントデバイスに厳しいブラウジング要件を課すことにより、ダウングレード攻撃やCookieハイジャックを防ぐのに役立ちます。
「プリロード」オプションを使用することもできます。これにより、主要ブラウザにカスタムドメインを公開済みのリリースに含めるように指示し、親ドメインがMozilla Firefox、Microsoft IE / Edge、Google Chromeなどで検証されていることを確認してセキュリティをさらに強化できます。 ドメインが送信されてプリロードリストに含まれるようになると、Oracleは変更を元に戻すことができなくなります。
Oracle B2C ServiceインスタンスでHSTSを有効にすることをご希望の場合は、テクニカルサポートにお問い合わせをご提出ください。その前にまず、関連するインターフェース用に独自のカスタムドメインが用意されているか、また内部ネットワークがSSLのみに適切に設定されていることをご確認ください。