HTTPSとは何ですか? -知っておくべきこと

強力な暗号化は最近流行になりましたが、ウェブサイトは過去20年間、強力なエンドツーエンド暗号化を日常的に使用しています。結局のところ、Webサイトをあまり安全にできなかった場合、ショッピングや銀行などのオンラインコマースは不可能になります。これに使用される暗号化プロトコルはHTTPSであり、HTTP Secure(またはHTTP over SSL / TLS)の略です。ユーザーを保護する必要があるウェブサイトで使用されており、インターネット上のすべてのセキュリティの基本的なバックボーンです。.

HTTPSは、セキュリティが優先事項ではないWebサイトでもますます使用されています。これは、エドワードスノーデンの大規模な政府監視の啓示を受けて、一般的なインターネットプライバシーとセキュリティの問題に対する懸念が高まっていることが大きな要因です。.

EFFのLet's Encryptイニシアチブ、SymantecのEncryption Everywhereプログラム、およびHTTPSで保護されていない検索結果の減価償却を選択するMozillaなどのプロジェクトは、プロトコルの一般的な採用を加速しています.

HTTPSは何をしますか?

セキュリティで保護されていないHTTP Webサイトにアクセスすると、すべてのデータが暗号化されずに転送されるため、そのWebサイトにアクセスしている間はすべてのデータを見ることができます(オンラインで支払いを行うときの取引詳細など)。あなたとウェブサーバー間で転送されるデータを変更することも可能です.

HTTPSを使用すると、最初にWebサイトに接続したときに暗号キー交換が行われ、Webサイトでの以降のすべてのアクションが暗号化されるため、therefore索好きな目から隠されます。視聴者は特定のWebサイトにアクセスしたことは見ることができますが、そのWebサイトで閲覧した個々のページや他のデータの転送は見ることができません。.

たとえば、ProPrivacy WebサイトはHTTPSを使用して保護されています。このWebページをしばらく読んでいないと仮定すると、ISPはproprivacy.comにアクセスしたことを確認できますが、この特定の記事を読んでいることを確認できません.

VPNを使用している場合、VPNプロバイダーは同じ情報を見ることができますが、良いプロバイダーは共有IPを使用するため、多くのユーザーのどれがproprivacy.comにアクセスしたかを知らず、関連するすべてのログを破棄しますとにかく訪れる.

HTTPSはエンドツーエンド暗号化を使用するため、コンピューター(またはスマートフォンなど)とそのWebサイトの間でやり取りされるすべてのデータは暗号化されます。これは、セキュリティで保護されていないパブリックWiFiホットスポットなどに接続している場合でも、HTTPS Webサイトに安全にアクセスできることを意味します.

ウェブサイトが安全かどうかを知る方法?

アクセスしたWebサイトがHTTPSで保護されているかどうかは簡単にわかります。

  1. 全体として、メインURL /検索バーのすぐ左にロックされた南京錠のアイコンが表示されます.
  2. ほとんどの場合、Webアドレスはhttps://で始まります。 (セキュリティで保護されていないWebサイトはhttp://で始まりますが、https://とhttp://の両方がしばしば非表示になります。)

安全でないWebサイトFirefox-HTTPSなし

安全でないウェブサイトChrome

以下は、セキュリティで保護されていないWebサイト(FirefoxおよびChrome)の例です。 Webアドレス(URL)がhttps:で始まっておらず、検索バーの左側に南京錠のアイコンが表示されていないことに注意してください。

安全なウェブサイトFirefox

保護されたウェブサイトChrome

保護されたWebサイトEdge

以下に、Firefox、Chrome、Microsoft Edgeの安全なHTTPS Webサイトを示します。外観は少し異なりますが、すべてのアドレスバーの横に南京錠のアイコンがはっきりと表示されています。ほとんどのブラウザとは異なり、EdgeはURLの先頭にhttps://を表示しないことに注意してください。また、アイコンは緑または灰色のいずれかになります。

緑と灰色の南京錠アイコンの違いは何ですか?

南京錠アイコンが表示されている場合、Webサイトは安全です。ただし、アイコンが緑色の場合は、WebサイトがブラウザーにExtended Validation Certificate(EV)を提示していることを示しています。これらは、提示されたSSL証明書がドメインに対して正しいこと、およびドメイン名がWebサイトを所有する予定の会社に属していることを確認することを目的としています。.

理論的には、緑の南京錠を表示するWebサイトにより大きな信頼を置く必要があります。ただし、実際には、検証システムは混乱を招く可能性があります.

ウォルブ

たとえば、英国では、NatWest銀行のオンラインバンキングアドレス(www.nwolb.com)は、カジュアルオブザーバーがハイストリートのライバルであると考えているロイヤルバンクオブスコットランドに属するEVによって保護されています。 NatWestがRBSによって所有されていることがわかっていない限り、ブラウザが緑色のアイコンを与えているかどうかにかかわらず、これにより証明書に対する不信が生じる可能性があります.

また、Wikipedia.comにアクセスすると緑の南京錠が表示されますが、Microsoft Edgeには灰色のアイコンが表示されるなど、FirefoxとChromeを受け入れるためにブラウザごとに異なる基準が使用される場合があるため、混乱が生じる可能性があります.

一般に、常識が優先されるべきです。 Googleにアクセスしていて、URLがwww.google.comである場合、南京錠アイコンが何であれ、ドメインがGoogleに属していることを確認できます。!

その他の南京錠アイコン

また、混合コンテンツ(Webサイトは部分的にのみ暗号化されており、盗聴を防ぐことはできません)や不良または期限切れのSSL証明書などを示す他の南京錠アイコンが表示される場合があります。そのようなウェブサイトは 安全ではない.

追加情報

すべてのブラウザで、南京錠アイコンをクリックして、HTTPS接続の検証に使用されるSSL証明書に関する追加情報を見つけることができます。.

HTTPS詳細

ほとんどのブラウザではさらに掘り下げて、SSL証明書自体を表示することもできます

HTTPSは実際にどのように機能しますか?

ハイパーテキスト転送プロトコル(HTTP)という名前は、基本的に標準のセキュアでないことを示します(Webページがハイパーリンクを介して相互に接続できるようにするアプリケーションプロトコルです).

HTTPS Webページは、TLS暗号化を使用して保護され、認証アルゴリズムはWebサーバーによって決定されます.

TLSの詳細

ほとんどのブラウザは、HTTPS接続に使用されるTLS暗号化に関する詳細を提供します。これは、Firefoxに表示されるProPrivacyで使用される暗号化です。使用される多くの用語の詳細については、こちらをご覧ください。

新しい接続をネゴシエートするために、HTTPSはX.509公開キーインフラストラクチャ(PKI)を使用します。これは、Webサーバーが公開キーを提示する非対称キー暗号化システムであり、ブラウザの秘密キーを使用して解読されます。中間者攻撃を防ぐために、X.509はHTTPS証明書を使用します。これは、Webサイトの公開暗号化キーを組織の詳細にデジタルでバインドする小さなデータファイルです.

HTTPS証明書は、認定された認証機関(CA)によって発行され、証明書の名前付きサブジェクトによって公開キーの所有権を証明します–信頼できるサードパーティ(TTP)として暗号用語で機能します.

Webサイトがブラウザに認識されたCAからの証明書を表示する場合、ブラウザはサイトが本物であると判断します(南京錠のアイコンが表示されます)。前述のように、拡張検証証明書(EV)は、これらのSSL証明書の信頼性を向上させる試みです。.

どこでもHTTPS

多くのウェブサイトは使用できますが、デフォルトでは使用しません。このような場合、Webアドレスの前にhttps://(://ではなく)を付けるだけで、安全にアクセスできることがよくあります。ただし、はるかに優れたソリューションは、HTTPS Everywhereを使用することです.

これは、Electronic Frontier Foundationとのコラボレーションによって開発された無料のオープンソースブラウザー拡張機能です。 HTTPS Everywhereはインストールされると、「これらのサイトへのリクエストをHTTPSに書き換える巧妙なテクノロジー」を使用します。

HTTPS接続が使用可能な場合、拡張機能は、デフォルトで実行されていなくても、HTTPS経由でWebサイトに安全に接続しようとします。 HTTPS接続がまったく利用できない場合は、通常の安全でないHTTP経由で接続します.

HTTPS Everywhereをインストールすると、より多くのWebサイトに安全に接続できるため、 強くお勧めします それをインストールします。 HTTP EverywhereはFirefox(Android版Firefoxを含む)、Chrome、Operaで利用可能です.

HTTPSの問題

偽のSSL証明書

HTTPSの最大の問題は、システム全体が信頼の網に依存していることです。CAは、検証済みのドメイン所有者にのみSSL証明書を発行すると信頼しています。しかしながら…

ほとんどすべてのブラウザで受け入れられるドメインの証明書に署名できる1200のCAが存在します。 CAになるには多くの手続きが必要です(誰もがCAとして自分自身を設定することはできません!)、彼らは政府に頼ることができ(そして最大の問題)、詐欺師に脅され、または偽物を発行する犯罪者にハッキングされます証明書.

この意味は:

  1. 数百の認証局により、システム全体を危険にさらすために、危険な証明書を発行する「悪い卵」が1つだけ必要です
  2. 証明書が発行されると、ブラウザーの完全な更新を発行するブラウザーメーカーを除き、その証明書を取り消す方法はありません。.

ブラウザーが侵害されたWebサイトにアクセスし、有効なHTTPS証明書のように見えるものが表示されると、ブラウザーは安全な接続と思われるものを開始し、URLに南京錠を表示します.

恐ろしいのは、ブラウザが接続を受け入れるために1200以上のCAの1つだけが侵害される必要があるということです。このEFF記事が観察するように,

要するに、HTTPS / TLS / SSLを今日破る多くの方法があります。たとえウェブサイトがすべてを正しくしていてもです。現在実装されているように、Webのセキュリティプロトコルは、時間と動機が限られている攻撃者から保護するのに十分な可能性がありますが、コンピューターシステムのセキュリティに対する攻撃を通じて地政学的およびビジネスコンテストがますます行われている世界には不十分です.

ピーター・エッカーズリー

残念ながら、この問題は理論からはほど遠いです。同様に残念なことに、一般的に認識されている解決策はありませんが、EVとともに、問題に取り組むために公開鍵のピン留めがほとんどの最新のWebサイトで採用されています.

公開キーの固定により、ブラウザはWebサイトのホストを予想されるHTTPS証明書または公開キーに関連付けます(この関連付けはホストに「固定」されます)。予期しない証明書またはキーが提示されると、接続の受け入れを拒否し、警告.

Electronic Frontier Foundation(EFF)は、インターネットを保護するために使用されるすべての証明書を調査する目的でSSL天文台プロジェクトを開始し、分析のために証明書を送信するように公衆に依頼しました。しかし、私が知っている限りでは、このプロジェクトは本当に下車することはなく、何年も休眠状態にあります.

トラフィック分析

研究者は、HTTPS接続でトラフィック分析を使用して、HTTPSで保護されたWebサイト上のターゲットがアクセスした個々のWebページを89の精度で特定できることを示しました.

心配ですが、そのような分析は特定の被害者に対する高度に標的化された攻撃を構成します.

HTTPSの結論

完全ではありませんが(しかし何ですか?)、HTTPSはWebサイトの優れたセキュリティ対策です。そうでなければ、インターネット上で毎日発生する数十億の金融取引や個人データの転送は不可能になり、インターネット自体(そしておそらく世界経済!)が一晩で崩壊するでしょう.

HTTPSの実装がWebサイトでますます標準になりつつあることは、両方にとってもプライバシーにとっても素晴らしいことです(NSAとその同類の仕事がはるかに難しくなるためです!).

覚えておくべき主なことは、インターネット上でセキュリティやプライバシーを必要とすることをするときは、閉じた南京錠アイコンを常にチェックすることです。安全でないインターネット接続(公共のWiFiホットスポットなど)を使用している場合、HTTPS暗号化されたWebサイトのみにアクセスする限り、Webを安全にサーフィンできます。.

何らかの理由でWebサイトが心配な場合は、そのSSL証明書をチェックして、そのWebサイトに期待する所有者に属しているかどうかを確認できます。.

TLは、HTTPSのおかげでウェブサイトを安全かつプライベートに閲覧できることです。これは、あなたの安心に最適です!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me