HTTPS

出典: フリー百科事典『ウィキペディア(Wikipedia)』
Httpsから転送)
移動先: 案内検索

HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。

概要[編集]

HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及やPRISMによる大規模な盗聴ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている[1][2][3]

HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすまし・中間者攻撃盗聴などの攻撃を防ぐことができる。HTTPSでは、標準のポート番号として443が使われる。

HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。

プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。

なお、RFC 2660が規定するS-HTTP(Secure HTTP:Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。

メリット/デメリット[編集]

httpsを利用するメリット/デメリットは以下のとおりである。

メリット

  • 通信が暗号化されるため、改ざん、盗聴などの攻撃を防ぐことができる。
  • HTTP/2対応でブラウザ表示が高速化される。
  • SEOに有利になる[4]

デメリット

  • 導入に費用がかかる。
  • https非対応のツールや広告が非表示になる。

情報の保護における誤解[編集]

HTTPSを用いた保護に関するよくある誤解に、「HTTPSによる通信は入力した情報にかかわる全ての処理を完全に保護する」というものがある。HTTPSは名前の通りアプリケーションレイヤのHTTPを保護するプロトコルでありWebブラウザとWebサーバの間の通信を暗号化して、盗聴改竄を防いでいるに過ぎず、IPsecのようなネットワークレイヤの保護を行うプロトコルではない。

情報を受け取ったサイトは、送信された情報のうち必要最小限のデータのみを安全に保管することが期待されるが、重要な個人情報がサイトのデータベースに格納されない保証はなく、さらにデータベースはしばしば外部からの攻撃の標的にされる。また、こうした情報が人為的に不当に流用されたり、事故によって漏洩する可能性もある。

このように通信が完全に保護されていたとしても、利用者が期待する安全性が確保されているとは言えない場合がある。現在のインターネットでは、通信の盗聴よりむしろこれらの脅威が情報の保護の面で重要なファクターとなっている。[要出典]

統計[編集]

2016年から2017年にかけて、HTTPSのシェアが50%を超えたという複数の調査結果が明らかになっている[5][6]

検閲[編集]

HTTPS通信は暗号化されているため、通信内容を読み取ったり改ざんしたりすることはできない。そのため、基本的に通信内容を検閲することはできない。

HTTPSによる検閲対策に対抗する措置として、中国では、暗号化技術の利用が許可制になっている[7]。また、Wikipediaに不適切な記述を含むページがあり、ロシアがこれを検閲しようとしたが、WikipediaがHTTPSを用いているため問題のページ単体を検閲できず、ロシアがWikipedia全体をブロックし、ロシア国内からWikipediaを閲覧できなくなったこともあった[8]

脚注[編集]

[ヘルプ]
  1. ^ 鈴木聖子 (2014年12月16日). “HTTP接続は「安全でない」と明示すべし――Googleが提案 - ITmedia エンタープライズ”. ITmedia. 2016年11月26日閲覧。
  2. ^ 【翻訳】安全でない HTTP の廃止 - Mozilla Security Blog 日本語版” (2015年9月17日). 2016年11月26日閲覧。
  3. ^ Securing the Web” (英語). W3C (2015年1月22日). 2016年11月26日閲覧。
  4. ^ HTTPS をランキング シグナルに使用します
  5. ^ 後藤大地 (2016年11月9日). “Google、Chromeで半数以上がHTTPSを利用と発表”. マイナビニュース > 企業IT > セキュリティ. 2017年3月16日閲覧。
  6. ^ 後藤大地 (2017年2月3日). “HTTPS、トラフィックの50%を突破”. マイナビニュース > 企業IT > セキュリティ. 2017年3月16日閲覧。
  7. ^ 中国大陸でネット検閲の中,HTTPSでGmailなどを安全に使えるのかどうか”. モバイル通信とIT技術をコツコツ勉強するブログ. 2017年2月16日閲覧。
  8. ^ ロシアでWikipediaが禁止サイトのリストに加えられ閲覧不能に、原因は一体何だったのか?”. GIGAZINE. 2017年2月16日閲覧。

関連項目[編集]

外部リンク[編集]