HTTPS
[Wikipedia|▼Menu]

HTTP
主要項目Persistence
Compression(英語版)
HTTPS
HTTP/2
ヘッダーフィールド(英語版)Cookie
ETag
Location(英語版)
Referer
DNT(英語版)
X-Forwarded-For
ステータスコード301 Moved Permanently(英語版)
302 Found(英語版)
303 See Other(英語版)
403 Forbidden
404 Not Found
451 Unavailable For Legal Reasons
503 Service Unavailable










HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。


目次

1 概要

1.1 メリット/デメリット


2 仕様

3 その他の方式

4 情報の保護における誤解

5 統計

6 検閲

7 脚注

8 関連項目

9 外部リンク


概要

HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及やPRISMによる大規模な盗聴ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている[1][2][3]

HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化改竄検出などを行う。これによって、なりすまし中間者攻撃盗聴などの攻撃を防ぐことができる。HTTPSでは、ウェルノウンポート番号として443が使われる。

HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。

プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。

なお、RFC 2660が規定するS-HTTP(Secure HTTP:Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。
メリット/デメリット

HTTPSを利用するメリット・デメリットは、以下のとおりである。

メリット

通信が暗号化されるため、
改竄盗聴などの攻撃を防ぐことができる。

HTTP/2対応でブラウザ表示が高速化される。

SEOに有利になる[4]

デメリット

無料発行サービスを除き、導入に費用がかかる。

https非対応のツールや広告、ブログパーツなどが非表示になる。

暗号化/復号が必要になるため、クライアントとサーバ共に負荷が上がる(但し、前述のHTTP/2を併用することで負荷を表示速度で相殺できる場合もある)。

古いウェブブラウザから閲覧ができなくなる。

仕様

HTTPSの仕様が最初に標準化されたのはRFC 2818 HTTP Over TLSである。TLS上でのHTTP通信について、ホスト名の検証(証明書のsubjectAltNameまたはCommon Nameが接続しているURLのホスト名またはIPアドレスに合致することの判定)やhttps URIスキームなどの規定が明文化された。その後、規定の一部は以下のように更新されている。

https URIスキームの規定は、HTTP/1.1のRFC 7230で更新されている (2.7.2. https URI Scheme)。

TLS接続上でのHTTP/2通信は、HTTP/2のRFC 7540で規定されている (3.3. Starting HTTP/2 for "https" URIs)。

このほか、HTTPSには以下の仕様が関係している。

X.509 (PKIX)では、証明書に対する要件が規定されている。特にHTTPSに特有のものとして以下がある (RFC 5280 4.2.1.12. Extended Key Usage)。

サーバー証明書を表す拡張鍵用途: TLS WWWサーバー認証 (OID 1.3.6.1.5.5.7.3.1)。

クライアント証明書を表す拡張鍵用途: TLS WWWクライアント認証 (OID 1.3.6.1.5.5.7.3.2)。


Application-Layer Protocol Negotiationを用いる場合、識別子http/1.1 (RFC 7301 6.IANA Considerations)またはh2 (RFC 7540 11.1. Registration of HTTP/2 Identification Strings)を使用する 。

HTTP/2では、TLSに対する追加の要件を課している (RFC 7540 9.2. Use of TLS Features)。

このほか、認証局に対する要求として、CA/Browser ForumがBaseline Requirementsを定めている[5][6]
その他の方式

https URIスキームのURLを対象とする通信では、前述のTLS上でHTTPを用いる方法のほか、以下のプロトコルを使用する事例も存在する。

SPDY

QUIC

情報の保護における誤解

この節には独自研究が含まれているおそれがあります。問題箇所を検証出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。(2013年5月)

HTTPSを用いた保護に関するよくある誤解に、「HTTPSによる通信は入力した情報にかかわる全ての処理を完全に保護する」というものがある。HTTPSは名前の通りアプリケーションレイヤのHTTPを保護するプロトコルでありWebブラウザとWebサーバの間の通信を暗号化して、盗聴改竄を防いでいるに過ぎず、IPsecのようなネットワークレイヤの保護を行うプロトコルではない。

情報を受け取ったサイトは、送信された情報のうち必要最小限のデータのみを安全に保管することが期待されるが、重要な個人情報がサイトのデータベースに格納されない保証はなく、さらにデータベースはしばしば外部からの攻撃の標的にされる。また、こうした情報が人為的に不当に流用されたり、事故によって漏洩する可能性もある。

このように通信が完全に保護されていたとしても、利用者が期待する安全性が確保されているとは言えない場合がある。現在のインターネットでは、通信の盗聴よりむしろこれらの脅威が情報の保護の面で重要なファクターとなっている。[要出典]
統計

2016年から2017年にかけて、HTTPSのシェアが50%を超えたという複数の調査結果が明らかになっている[7][8]

2017年末、66%のシェアという調査報告がされた[9]
検閲

HTTPS通信は暗号化されているため、通信内容を読み取ったり改竄したりすることはできない。そのため、基本的に通信内容を検閲することはできない。

HTTPSによる検閲対策に対抗する措置として、中華人民共和国では、暗号化技術の利用が許可制になっている[10]。また、ウィキペディアに不適切な記述を含むページがあり、ロシアがこれを検閲しようとしたが、ウィキペディアがHTTPSを用いているため問題のページ単体を検閲できず、ロシアがウィキペディア全体をブロックし、ロシア国内からウィキペディアを閲覧できなくなったこともあった[11]
脚注

[ヘルプ]
^ 鈴木聖子 (2014年12月16日). “ ⇒HTTP接続は「安全でない」と明示すべし――Googleが提案 - ITmedia エンタープライズ”. ITmedia. 2016年11月26日閲覧。
^ “ ⇒【翻訳】安全でない HTTP の廃止 - Mozilla Security Blog 日本語版” (2015年9月17日). 2016年11月26日閲覧。
^ “Securing the Web” (英語). W3C (2015年1月22日). 2016年11月26日閲覧。
^ HTTPS をランキング シグナルに使用します
^ CA/Browser Forum (2017年4月14日). “CABF Baseline Requirements v.1.4.5 7.1.2.3. Subscriber Certificate (PDF)” (英語). 2017年7月12日閲覧。
^ CA/Browser Forum (2012年9月14日). “CA/ブラウザフォーラム パブリック証明書の発行および管理に関する基本要件 v.1.1 (PDF)”. 2017年7月12日閲覧。


次ページ
記事の検索
おまかせリスト
▼オプションを表示
ブックマーク登録
mixiチェック!
Twitterに投稿
オプション/リンク一覧
話題のニュース
列車運行情報
暇つぶしWikipedia

Size:23 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:FIRTREE