「HTTPS」の版間の差分

削除された内容追加された内容

インライン

2013年4月27日 (土) 04:38時点における版

HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に（セキュアに）行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではない。SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。

概要

HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で広く用いられている。

HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすましや盗聴などの攻撃を防ぐことができる。HTTPSでは、標準のポート番号として443が使われる。

HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する（TLSを参照）。

なお、RFC 2660 が規定するS-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。

情報の保護における誤解

HTTPSを用いた保護に関するよくある誤解に、「HTTPSによる通信は入力した情報にかかわる全ての処理を完全に保護する」というものがある。HTTPSは名前の通りアプリケーションレイヤのHTTPを保護するプロトコルでありWebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎず、IPsecのようなネットワークレイヤの保護を行うプロトコルではない。

情報を受け取ったサイトは、送信された情報のうち必要最小限のデータのみを安全に保管することが期待されるが、重要な個人情報がサイトのデータベースに格納されない保証はなく、さらにデータベースはしばしば外部からの攻撃の標的にされる。また、こうした情報が人為的に不当に流用されたり、事故によって漏洩する可能性もある。

このように通信が完全に保護されていたとしても、利用者が期待する安全性が確保されているとは言えない場合がある。現在のインターネットでは、通信の盗聴よりむしろこれらの脅威が情報の保護の面で重要なファクターとなっている。^[要出典]

外部リンク

RFC 2818 (HTTP over TLS)
RFC 2660 - The Secure HyperText Transfer Protocol; S-HTTP
httpsとは別の暗号化通信用プロトコル。HTTPの拡張。
SSL/TLS 暗号化: はじめに (Apache 2.0)
Technical Descriptions of Secured HTTP
serversniff.net enumerates a https-server's certificate, supported protocols and ciphers
IANAに登録されたスキーム

@@ 1行目: / 1行目: @@
 {{HTTP}}
-'''HTTPS''' (Hypertext Transfer Protocol over Secure Socket Layer) は、[[Uniform Resource Identifier|URI]]スキームのひとつであり、[[Hypertext Transfer Protocol|HTTP]]による通信について安全性（[[コンピュータセキュリティ|セキュリティ]]）を向上させる目的で幅広く利用されている。httpsスキームにおける[[通信プロトコル]]には、'''[[Hypertext Transfer Protocol|HTTP]] over [[Secure Sockets Layer|SSL]]/[[Transport Layer Security|TLS]]'''が用いられる。
+'''HTTPS''' (Hypertext Transfer Protocol Secure) は、[[Hypertext Transfer Protocol|HTTP]]による通信を安全に（[[コンピュータセキュリティ|セキュア]]に）行うためのプロトコルおよび[[Uniform Resource Identifier|URI]]スキームである。厳密に言えば、HTTPS自体はプロトコルではない。[[Transport Layer Security|SSL/TLS]]'''プロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。
 == 概要 ==
-[[ネットスケープコミュニケーションズ]]によって、[[認証]]や暗号通信のために開発され、[[World Wide Web]]上の個人情報の送信や電子決済など、セキュリティが重要な通信に広く用いられている。
+HTTP通信において[[認証]]や暗号化を行うために、[[ネットスケープコミュニケーションズ]]によって開発された。[[World Wide Web]]上での個人情報の送信や電子決済など、セキュリティが重要となる通信で広く用いられている。
-HTTP over SSL/TLSは、メッセージを[[平文]]のままで送受信するHTTPと異なり、SSL (Secure Sockets Layer) /TLS (Transport Layer Security) を用いて、サーバ認証・クライアント認証やメッセージの[[暗号化]]、セッション管理を行うことによって、[[盗聴]]やなりすましによる攻撃からの保護を行う。標準の[[ポート番号]]は443。
+HTTPSは、メッセージを[[平文]]のままで送受信する標準のHTTPと異なり、[[Transport Layer Security|SSL/TLS]]プロトコルを用いて、サーバの認証・通信内容の[[暗号化]]・改竄検出などを行う。これによって、なりすましや[[盗聴]]などの攻撃を防ぐことができる。HTTPSでは、標準の[[ポート番号]]として443が使われる。
-HTTP over SSL/TLSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する（[[Transport Layer Security|TLS]]を参照）。
+HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する（[[Transport Layer Security|TLS]]を参照）。
 なお、RFC 2660 が規定する'''S-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)'''は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。

表話編歴 URIスキーム
公式	aaa aaas about（英語版） acap cap cid crid data dav dict dns fax file（英語版） ftp geo（英語版） go Gopher h323 http https iax im imap info ldap mailto mid news nfs nntp pop rsync pres rtsp sip sips sms snmp tag tel telnet tftp urn view-source（英語版） wais ws xmpp
非公式	afp aim apt bolo（英語版） bzr callto coffee cvs daap dsnp ed2k feed fish gg git gizmoproject irc ircs itms javascript ldaps magnet mms msnim postal2 secondlife skype spotify ssh svn sftp smb steam webcal winamp wyciwyg xfire ymsgr
プロトコル一覧（英語版）

2013年4月27日 (土) 04:38時点における版

概要

情報の保護における誤解

関連項目

外部リンク