Tweet

HTTPS

Hyper Text Transfer Protocol over SSL

　これによってWebブラウザとWebサーバ間の経路における通信内容の盗聴･改ざんの危険性はほぼ回避できる。前述の商用サイトの例で挙げれば、入力した会員情報やクレジット番号の悪意ある第三者への漏えいや注文商品･個数のすり替えなどをほぼ回避できるわけである。

　しかし、これで完全に安全かというとそういうことではない。すでに悪意ある第三者が他人のクレジット番号を使って注文したり、せっかく暗号化して入力された個人情報や注文情報が商用サイト側のいい加減かげんな管理によって漏えいしていた場合は何の意味もなくなる。あくまでWebサーバとWebブラウザ間の暗号化通信手段であるという認識が必要である。よって判断基準は難しいが、いいかげんな管理をしているWebサイトではたとえ暗号化されていても個人情報やクレジット番号を入力するのは控えた方がいい。判断基準としては出所がはっきりしているサーバ証明書を使っている場合や暗号化入力された情報がどのように管理されているかを明記している場合は信用できると判断してよいだろう。

　現在HTTPSの暗号化には、RC4-40という規格が多く使われている。これは暗号通信を行うごとに40bitsの暗号鍵を生成し、それで暗号化･復号化を行うことである。この40bitsというのが鍵の長さであり、暗号の強度（いかに解読されにくいか）の指標となっている。また使い捨ての鍵を用いることにより暗号の強度を上げている。現在RC4-128という128bitsの鍵が使われるようになりつつある。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード