「HTTPS」の版間の差分
編集の要約なし |
|||
1行目: | 1行目: | ||
{{HTTP}} |
{{HTTP}} |
||
'''HTTPS''' (Hypertext Transfer Protocol |
'''HTTPS''' (Hypertext Transfer Protocol Secure) は、[[Hypertext Transfer Protocol|HTTP]]による通信を安全に([[コンピュータセキュリティ|セキュア]]に)行うためのプロトコルおよび[[Uniform Resource Identifier|URI]]スキームである。厳密に言えば、HTTPS自体はプロトコルではない。[[Transport Layer Security|SSL/TLS]]'''プロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。 |
||
== 概要 == |
== 概要 == |
||
[[ネットスケープコミュニケーションズ]]によって |
HTTP通信において[[認証]]や暗号化を行うために、[[ネットスケープコミュニケーションズ]]によって開発された。[[World Wide Web]]上での個人情報の送信や電子決済など、セキュリティが重要となる通信で広く用いられている。 |
||
HTTPSは、メッセージを[[平文]]のままで送受信する標準のHTTPと異なり、[[Transport Layer Security|SSL/TLS]]プロトコルを用いて、サーバの認証・通信内容の[[暗号化]]・改竄検出などを行う。これによって、なりすましや[[盗聴]]などの攻撃を防ぐことができる。HTTPSでは、標準の[[ポート番号]]として443が使われる。 |
|||
HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する([[Transport Layer Security|TLS]]を参照)。 |
|||
なお、RFC 2660 が規定する'''S-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)'''は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。 |
なお、RFC 2660 が規定する'''S-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)'''は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。 |
2013年4月27日 (土) 04:38時点における版
HTTP |
---|
主要項目 |
リクエストメソッド |
ヘッダーフィールド |
ステータスコード |
認証方式 |
セキュリティホール |
HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではない。SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。
概要
HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で広く用いられている。
HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすましや盗聴などの攻撃を防ぐことができる。HTTPSでは、標準のポート番号として443が使われる。
HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。
なお、RFC 2660 が規定するS-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。
情報の保護における誤解
HTTPSを用いた保護に関するよくある誤解に、「HTTPSによる通信は入力した情報にかかわる全ての処理を完全に保護する」というものがある。HTTPSは名前の通りアプリケーションレイヤのHTTPを保護するプロトコルでありWebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎず、IPsecのようなネットワークレイヤの保護を行うプロトコルではない。
情報を受け取ったサイトは、送信された情報のうち必要最小限のデータのみを安全に保管することが期待されるが、重要な個人情報がサイトのデータベースに格納されない保証はなく、さらにデータベースはしばしば外部からの攻撃の標的にされる。また、こうした情報が人為的に不当に流用されたり、事故によって漏洩する可能性もある。
このように通信が完全に保護されていたとしても、利用者が期待する安全性が確保されているとは言えない場合がある。現在のインターネットでは、通信の盗聴よりむしろこれらの脅威が情報の保護の面で重要なファクターとなっている。[要出典]
関連項目
外部リンク
- RFC 2818 (HTTP over TLS)
- RFC 2660 - The Secure HyperText Transfer Protocol; S-HTTP
- httpsとは別の暗号化通信用プロトコル。HTTPの拡張。
- SSL/TLS 暗号化: はじめに (Apache 2.0)
- Technical Descriptions of Secured HTTP
- serversniff.net enumerates a https-server's certificate, supported protocols and ciphers
- IANAに登録されたスキーム