【2/17】今年は「濃厚」技術トーク!@ITメールセミナー スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

HTTPS

Hyper Text Transfer Protocol over SSL

 SSL(Secure Sockets Layer)の暗号化通信をHTTPに実装したもの。商用サイトにおける会員情報入力や商品購入のクレジットカード番号入力時によく見受けられる。このときWebブラウザのURL入力画面に「https://」 と出力されているのがそうである。

 これによってWebブラウザとWebサーバ間の経路における通信内容の盗聴・改ざんの危険性はほぼ回避できる。前述の商用サイトの例で挙げれば、入力した会員情報やクレジット番号の悪意ある第三者への漏えいや注文商品・個数のすり替えなどをほぼ回避できるわけである。

 しかし、これで完全に安全かというとそういうことではない。すでに悪意ある第三者が他人のクレジット番号を使って注文したり、せっかく暗号化して入力された個人情報や注文情報が商用サイト側のいい加減かげんな管理によって漏えいしていた場合は何の意味もなくなる。あくまでWebサーバとWebブラウザ間の暗号化通信手段であるという認識が必要である。よって判断基準は難しいが、いいかげんな管理をしているWebサイトではたとえ暗号化されていても個人情報やクレジット番号を入力するのは控えた方がいい。判断基準としては出所がはっきりしているサーバ証明書を使っている場合や暗号化入力された情報がどのように管理されているかを明記している場合は信用できると判断してよいだろう。

 現在HTTPSの暗号化には、RC4-40という規格が多く使われている。これは暗号通信を行うごとに40bitsの暗号鍵を生成し、それで暗号化・復号化を行うことである。この40bitsというのが鍵の長さであり、暗号の強度(いかに解読されにくいか)の指標となっている。また使い捨ての鍵を用いることにより暗号の強度を上げている。現在RC4-128という128bitsの鍵が使われるようになりつつある。

関連記事

関連用語

POP before SMTP
ssh(Secure Shell)

リンク

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

アイティメディアの提供サービス

ホワイトペーパー(TechTargetジャパン/閲覧には会員登録が必要です)

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
  企業の仮想化に足りない“発想”とは?
仮想化運用管理のキモは意外なところに!
New!
  操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール
New!
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する

  セキュリティを知り尽くす上野氏が登壇!
@ITメールソリューションLive! in Tokyo
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?
  世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く

  OSSで手間も時間も、障害も減った――
「マピオンの事例」オープンソース活用法
  「ノートPCの持ち出し禁止」で大丈夫?
情報漏えいを防ぐ管理手法とインフラは?
  1日の処理を1秒に――MySQLの達人が語る
「コスト削減」できるチューニング

  ドキュメント作成を自動化して、SEの作業
効率を大幅アップ! Visio 2007の魅力
  急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説
  @IT主催セミナーで語られた、「担当者に
求められるセキュリティ対策」をレポート

  @IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています

→@IT Special ヘ