https 프로토콜을 사용하여 접근해야하는 주소에 http 로 접근하는 경우( HTTPS 를 강제하게 될 때 ) 서버측에서 302 Redirect 를 이용하여 전환시킬 수 있습니다.

하지만 HTTP 연결을 거쳐가는 것이기 때문에 쿠키 정보 탈취 등 보안에 취약할 수 있습니다. 이때 클라이언트에게 HTTPS 를 강제 하도록 하는 것이 권장되는데 이것이 "HSTS" 입니다.

• 웹 브라우저가 HTTPS 프로토콜만을 사용해서 서버와 통신하도록 하는 기능
• 일정시간 (max-age) 동안 HSTS 응답을 받은 웹사이트에 대해서 https 접속을 강제화
• HTTPS 접속이 실패하는 경우 사이트 접근에 실패하게 됨
• HTTP 를 이용한 연결 자체가 최초부터 시도되지 않으며 클라이언트 측에서 차단되는 장점이 있습니다.

만약 해커와 같은 공격자가, 중간자공격(MITM attack)을 하여, 중간에 Proxy Server를 두고, 사용자와는 HTTP 통신을 하고, 실제 Site 와는 HTTPS 통신을 해도, 사용자는 전혀 인식을 하지 못하게 됩니다. 즉 사용자가 실제 Site 와 주고 받는 모든 정보는 공격자에게 노출이 되게 됩니다. 이러한 공격을 “SSL Stripping” 공격(attack)이라고 부르며, 이러한 공격을 방지하기 위하여 HSTS 기능을 사용합니다. SSL Stripping은 SSL/TLS Hijacking이라고도 부릅니다.

즉 사용자가 실수로 HTTPS Protocol을 지원하는 Site를, HTTP Protocol로 접속 했을 때, 중간자 공격에 의해, HTTP Protocol을 사용한 통신을 하게 되고, 이로 인해 통신 정보가 공격자에게 노출이 되는 것을 방지하고자 하는 목적입니다.

또한 cookie hijacking을 방지하는 용도로도 사용된다고 합니다.

• HSTS를 지원하는 Web Browser는 내부에 HSTS List를 보유하고 있습니다. 즉 HTTPS Protocol을 사용해야만 하는 Web Site에 대한 정보를 가지고 있습니다.
• 사용자가 Web Browser 주소창에 도메인 이름을 입력하면(또는 실수로 “http://” 를 사용하여 URL 주소를 입력하면), 또는 Link된 URL 주소를 클릭하면, 도메인 주소만 추출하여, HSTS List에 있는 지 확인하여, 있으면(정확히 기술하면, 도메인 이름에 HSTS가 설정되어 있으면), HTTPS Protocol을 사용하여 접속하게 됩니다.
• Web Browser가, HSTS 기능이 설정된 Site에 HTTPS Protocol로 접속할 경우
  • Web Browser가 이전에 접속한 적인 없는, HTTPS Protocol 지원 Site에 HTTP Protocol로 접속하면, 301 Redirect Reply Message로 인해, 다시 HTTPS Protocol로 접속하게 됩니다
  • Web Server는 HTTPS Reply Message에 HSTS Policy를 넣어서 보냅니다(암호화 되기 전 packet인, HTTP response header field에 "Strict-Transport-Security" 필드 정보 삽입). Web Browser는 이 정보를 받아서 내부 HSTS List를 구성합니다. 참고로, Max Age 값, Subdomain 적용여부 값, Preloaded List에 추가여부 값을 함께 전달합니다. Max Age 값은 HSTS List 에 존속하는 시간을 나타내며, Subdomain 에도 HSTS를 적용할 지 여부를 알려줍니다. Age 값이 0(zero)인 경우는 HSTS Policy를 삭제하라는 명령이라고 합니다.

웹서버에서 HSTS 설정방법