公式サイトの解答を確認したら、本問の前提は偽サイトにもHSTSを有効にしていたこと。ただし、問題文にはなかった。
S氏の話はBサービスでHSTSを有効しているのはわかっているが、偽サイトもHSTSを有効にするのかと疑問持っています。
皆さんの意見や感想を伺いたいです、よろしくお願いします。

この投稿は投稿者により削除されました。(2024.03.09 22:31)

>公式サイトの解答を確認したら、本問の前提は偽サイトにもHSTSを有効にしていたこと。
>ただし、問題文にはなかった。
>S氏の話はBサービスでHSTSを有効しているのはわかっているが、偽サイトもHSTSを有効に
>するのかと疑問持っています。
>皆さんの意見や感想を伺いたいです、よろしくお願いします。
すみませんが、スレ主様はIPAの解答を誤解しているようです。
IPAの解答「HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。
その後、偽サイトからサーバ証明書を受け取る。」
です。

IPAの解答を2文に分割すると
・前半部分：「HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。」
・後半部分：「その後、偽サイトからサーバ証明書を受け取る。」
になります。

この前半部分：「HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。」
ですが、これはBサービスでHSTSが有効になっているため、従業員のPCのブラウザには
HSTSの情報がすでに設定されている。その状態でHTTP接続しても従業員のPCの
ブラウザ側でHTTPS接続へ自動的に置き換えられるという意味です。
偽サイトでHSTSを有効にしているかいなかは関係なく、ここから偽サイトが
HSTSを有効化しているかどうかは読み取れません。

丁寧に説明してくださって、本当に感謝いたします。
ようやく理解しました。スッキリしました。
HSTS仕組みの理解も深めました。
ありがとうございます。