第5回 意外と知らない?HTTPSを使いこなすテクニック
今回は、通信経路を暗号化するHTTPS(Hyper Text Transport Protocol Secure)について説明します。 HTTPSは、SSL(Secure Socket Layer)/TLS(Transport Layer Security)を使い、HTTP通信を暗号化します。WebアプリケーションでHTTPSを使うと、盗聴や改ざん、なりすましによる被害を防げるようになります。 ただしHTTPSの実装には注意が必要です。2014年には、SSLのオープンソースソフトウエアであるOpenSSLに、「HeartBleed▼」「POODLE▼」「FREAK▼」と呼ばれる重大な脆弱性が見つかりました。証明書を発行する認証局や、Google Chrome、Firefox、IEなどのブラウザーも対応を進めています。 ▼Heartbleedとは、2014年4月に発覚したオープンソースの暗号
証明書のSHA-2署名への移行が本格化
TLS/SSLで使用するサーバー証明書の署名アルゴリズムが変わりつつある。脆弱性が見つかった「SHA-1」に代わって、「SHA-2」が使われ始めている。それに伴って一部のモバイル端末では、サイトアクセス時に警告が表示されるなどの変化が生じている。署名アルゴリズムの変更がモバイル端末に与える影響について紹介する。 TLS/SSLで使用するサーバー証明書には認証局の電子署名が付加されている。電子署名には暗号アルゴリズムが複合的に用いられるが、主に改ざん検知の目的に利用されるのが、入力に対して固定長データ(ハッシュ値)を出力する暗号学的ハッシュ関数である。 暗号学的ハッシュ関数には、(1)入力値からハッシュ値を容易に計算できる、(2)ハッシュ値から入力値を計算することが事実上不可能、(3)ある入力値に対するハッシュ値と同じハッシュ値になる別の入力値を見つけることが困難、(4)同じハッシュ値となる
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ
