HTTPS
[Wikipedia|▼Menu]

HTTP
主要項目Persistence
Compression(英語版)
HTTPS
HTTP/2
ヘッダーフィールド(英語版)Cookie
ETag
Location(英語版)
Referer
DNT(英語版)
X-Forwarded-For
ステータスコード301 Moved Permanently(英語版)
302 Found(英語版)
303 See Other(英語版)
403 Forbidden
404 Not Found
451 Unavailable For Legal Reasons
503 Service Unavailable










HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。
目次

1 概要

1.1 メリット/デメリット


2 仕様

3 その他の方式

4 情報の保護における誤解

5 統計

6 検閲

7 脚注

8 関連項目

9 外部リンク

概要

HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及やPRISMによる大規模な盗聴ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている[1][2][3]

HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化改竄検出などを行う。これによって、なりすまし中間者攻撃盗聴などの攻撃を防ぐことができる。HTTPSでは、ウェルノウンポート番号として443が使われる。

HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。

プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。

なお、RFC 2660が規定するS-HTTP(Secure HTTP:Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。
メリット/デメリット

HTTPSを利用するメリット・デメリットは、以下のとおりである。

メリット

通信が暗号化されるため、改竄盗聴などの攻撃を防ぐことができる。

HTTP/2対応でブラウザ表示が高速化される。

SEOに有利になる[4]

デメリット

無料発行サービスを除き、導入に費用がかかる。

https非対応のツールや広告、ブログパーツなどが非表示になる。

暗号化/復号が必要になるため、クライアントとサーバ共に負荷が上がる(但し、前述のHTTP/2を併用することで負荷を表示速度で相殺できる場合もある)。

古いウェブブラウザから閲覧ができなくなる。

仕様

HTTPSの仕様が最初に標準化されたのはRFC 2818 HTTP Over TLSである。TLS上でのHTTP通信について、ホスト名の検証(証明書のサブジェクト代替名(英語版) (subjectAltName)またはCommon Nameが接続しているURLのホスト名またはIPアドレスに合致することの判定)やhttps URIスキームなどの規定が明文化された。その後、規定の一部は以下のように更新されている。

https URIスキームの規定は、HTTP/1.1のRFC 7230で更新されている (2.7.2. https URI Scheme)。

TLS接続上でのHTTP/2通信は、HTTP/2のRFC 7540で規定されている (3.3. Starting HTTP/2 for "https" URIs)。

このほか、HTTPSには以下の仕様が関係している。

X.509 (PKIX)では、証明書に対する要件が規定されている。特にHTTPSに特有のものとして以下がある (RFC 5280 4.2.1.12. Extended Key Usage)。

サーバー証明書を表す拡張鍵用途: TLS WWWサーバー認証 (OID 1.3.6.1.5.5.7.3.1)。

クライアント証明書を表す拡張鍵用途: TLS WWWクライアント認証 (OID 1.3.6.1.5.5.7.3.2)。


Application-Layer Protocol Negotiationを用いる場合、識別子http/1.1 (RFC 7301 6.IANA Considerations)またはh2 (RFC 7540 11.1. Registration of HTTP/2 Identification Strings)を使用する 。

HTTP/2では、TLSに対する追加の要件を課している (RFC 7540 9.2. Use of TLS Features)。

このほか、認証局に対する要求として、CA/ブラウザフォーラム(英語版)がBaseline Requirementsを定めている[5][6]
その他の方式

https URIスキームのURLを対象とする通信では、前述のTLS上でHTTPを用いる方法のほか、以下のプロトコルを使用する事例も存在する。

SPDY

QUIC

情報の保護における誤解

次ページ
記事の検索
おまかせリスト
▼オプションを表示
ブックマーク登録
mixiチェック!
Twitterに投稿
オプション/リンク一覧
話題のニュース
列車運行情報
暇つぶしWikipedia
Size:24 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:FIRTREE