🙆

【初学者によるまとめ】この一冊で全部わかるWeb技術の基本 「Chapter3」>「10 HTTPSの仕組み」

2024/12/09に公開

目的:「イラスト図解式 この一冊で全部わかるWeb技術の基本」の要点を自分なりにまとめアウトプットして理解力の向上に努める。

注意点
🤔 ←この絵文字の文章は個人的な見解になります。的外れなこともあるかと思います。
例)🤔<(感想、考察、疑問点など)

(参考書籍)

  1. イラスト図解式 この一冊で全部わかるWeb技術の基本

(参考サイト)

  1. KDDIトビラ
  2. 総務省:(chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/cmn/download/kokumin-security_basic.pdf)
  3. SSL/TLS総合解説サイト
  4. ネットワークエンジニアとして
  5. JPNIC

HTTPSの仕組み

:::note warn

  • HTTPS…"Hyper Text Transfer Protocol Secure":「安全なHTTP」

    • 通信を暗号化してくれるプロトコル
      • HTTPの末尾に"S"が付く
      • HTTP over SSL/TLSの略とも言われている
        :::
  • HTTPを利用するにあたって個人情報など大事な情報を守って安全に通信するためのプロトコルがHTTPS

    • 暗号化方式にSSLTLSを利用する
      • SSL..."Secure Socket Layer"
      • TLS..."Transport Layer Security"
*`TLS`は`SSL`の後に登場して今現在も使用されている
⇒この背景もあって`SSL/TLS`と表記されていたり、
 単に`SSL`と表記されている場合もある

🤔<(HTTPSは'プロトコル'なので「こういった手順、ルールで通信しましょうね」という処理方針を決定している感じで、SSL/TLSは'暗号化方式'なので「HTTPSに則て具体的な通信方法」という通信処理自体を意味している感じ?)

安全性を確保する仕組み

上述の通り、Webサイトの安全性を確保するために SSL/TLS を利用している。その主な特徴が以下の3つとなる。

1)盗聴防止(暗号化通信)

▲Webサイトを閲覧する際にはいくつかサーバーを経由してWebコンテンツを取得している
⇒この経由ルートに悪意を持つ人間によるサーバーが配置されている、もしくは誘導されれば盗聴が成立する

  • ここで「盗聴自体を防ぐのは難しいから、盗聴されても内容は難解に暗号化して通信する」ことで盗聴されても通信内容が漏洩することは避けられるという考え
    • SSL では『暗号化 + 電子証明書』の堅牢な組み合わせでセキュリティを強化している
      ※電子証明書については"3)なりすまし防止 "で記述

🤔<("盗まれない仕組み"ではなく"盗まれても内容は解読されない"="実質、盗聴を防いでいる"ということ)

2)改ざん防止

▲先述の通り、悪意のあるサーバーが配置されていれば盗聴の恐れがある
また、データの内容を書き換える『改ざん』の恐れもある

  • 改ざんの対策として『メッセージダイジェスト』という仕組みが利用されている
    • リクエスト時に送信したデータの内容が悪者によって「書き換えられたか否か」を検知する仕組み
    1. メッセージダイジェストでは送信内容から一意のハッシュ値を計算
    2. 送信したい内容とセットでハッシュ値もサーバーに送信する
    3. クライアント側が"送信したい内容から一意のハッシュ値を計算"した事と同じ要領で、サーバー側でも同じくハッシュ値を計算する
    4. その計算結果と受け取ったハッシュ値を照合して一致しない場合は「改ざんされた」と検知できる

3)なりすまし防止

▲公式が運営しているであろうと思ってアクセスした"偽・公式サイト"に個人情報などを登録したら個人情報が盗まれるなど『なりすまし』による犯行が起こりうる

  • "なりすまし"による犯行の対策として『SSLサーバー証明書』と呼ばれる電子証明書を配置することで「信頼できるちゃんとしたWebサイトかどうか」が明確になる
    • SSLサーバー証明書には「認証局」という第三者機構の認定が必要となるので、「SSLサーバー証明書があるWebサイト = 信頼できるWebサイトである」と言える
      • 認定には「運営者の実在性があるか」など運営母体の身元確認が行われるため厳格な審査がされている

*信頼できない発行元(認証局以外)のSSLサーバー証明書が利用されている場合にはWebブラウザ上で警告がされる


まとめ

:::note info

  • HTTPS で利用される SSL は通信の際に「通信内容の難解な暗号化」「通信内容の改ざん有無の検知」「第三者機構が厳格な審査の元で発行した証明書を所持するか否かの確認」をする仕組みによって安全性を確保している
    :::

Discussion