HTTP
主要項目Persistence
Compression
HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。
目次
1 概要
1.1 メリット/デメリット
2 仕様
3 その他の方式
4 情報の保護における誤解
5 統計
6 検閲
7 脚注
8 関連項目
9 外部リンク
HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及やPRISMによる大規模な盗聴、ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている[1][2][3]。 HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすまし・中間者攻撃・盗聴などの攻撃を防ぐことができる。HTTPSでは、ウェルノウンポート番号として443が使われる。 HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。 プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。 なお、RFC 2660が規定するS-HTTP(Secure HTTP:Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。 HTTPSを利用するメリット・デメリットは、以下のとおりである。 メリット デメリット HTTPSの仕様が最初に標準化されたのはRFC 2818
概要
メリット/デメリット
通信が暗号化されるため、改竄、盗聴などの攻撃を防ぐことができる。
HTTP/2対応でブラウザ表示が高速化される。
SEOに有利になる[4]。
無料発行サービスを除き、導入に費用がかかる。
https非対応のツールや広告、ブログパーツなどが非表示になる。
暗号化/復号が必要になるため、クライアントとサーバ共に負荷が上がる(但し、前述のHTTP/2を併用することで負荷を表示速度で相殺できる場合もある)。
古いウェブブラウザから閲覧ができなくなる。
仕様
https URIスキームの規定は、HTTP/1.1のRFC 7230
TLS接続上でのHTTP/2通信は、HTTP/2のRFC 7540
このほか、HTTPSには以下の仕様が関係している。
X.509 (PKIX)では、証明書に対する要件が規定されている。特にHTTPSに特有のものとして以下がある (RFC 5280 4.2.1.12. Extended Key Usage)。
サーバー証明書を表す拡張鍵用途: TLS WWWサーバー認証 (OID 1.3.6.1.5.5.7.3.1)。
クライアント証明書を表す拡張鍵用途: TLS WWWクライアント認証 (OID 1.3.6.1.5.5.7.3.2)。
Application-Layer Protocol Negotiationを用いる場合、識別子http/1.1 (RFC 7301 6.IANA Considerations)またはh2 (RFC 7540 11.1. Registration of HTTP/2 Identification Strings)を使用する 。
HTTP/2では、TLSに対する追加の要件を課している (RFC 7540 9.2. Use of TLS Features)。
このほか、認証局に対する要求として、CA/Browser ForumがBaseline Requirementsを定めている[5][6]。 https URIスキームのURLを対象とする通信では、前述のTLS上でHTTPを用いる方法のほか、以下のプロトコルを使用する事例も存在する。 この節には独自研究が含まれているおそれがあります。
その他の方式
SPDY
QUIC
情報の保護における誤解