SSL リクエストは HTTP スニッファでいつも見えるとは限らない - g-squidの日記Charles Web ProxyやFiddlerなどのHTTPスニッファはHTTPリクエストはもちろんHTTPSリクエストも中身は見えないながらもリクエスト自身は表示する、と思っていた。そうではないといことが今日分かった。 HTTPSでは、クライアント(ブラウザ)とサーバーがハンドシェイク(暗号鍵の交換)をしたあとは暗号で通信が行われる。暗号鍵の交換はリクエスト毎に行われるわけではなく、複数のリクエストに渡って同じ暗号鍵が使われる。Charles やFiddlerなどのプロキシ方式のHTTPスニッファは暗号化された中身を見ることができないので(なりすましもできるが、ここでは話の簡単のため触れない)、外側だけを見てHTTPSリクエストを判断しないといけない。外側、というのは暗号化されたSSLデータを運ぶ層、すなわちTCPということになる。 ここで問題なのは、一つのHTTPもしくはHTTPS
