HTTPの教科書まとめ(七章)
HTTTPの教科書まとめ 7章
HTTPの弱点
HTTP通信には次のような弱点がある。
- 通信が平文なので盗聴可能
- 通信相手をたしかめないのでなりすましが可能
- 完全性を確かめないので改竄が可能
盗聴に関して
暗号化して身を守る方法
コンテンツの暗号化 HTTPメッセージの中身だけ暗号化。改竄やなりすましの可能性が残る。
なりすましに関して
HTTP通信では相手を確かめない
リクエストもレスポンスも相手を確かめずに行う。
相手を確かめるために証明書を使うことができる。
信頼できる第三者機関が発行する証明書で通信相手を判断することができる。
完全性を確かめないことに関して
受け取った内容が改ざんされているかもしれない。
通常、HTTP通信では発行されたリクエストやレポンスが同じかどうかを確認していない。
改竄防ぐためには
HTTPでも完全性を高める方法はあるが確実で便利な方法は今のところない。確実に防ぐためにはHTTPSを用いる必要がある。
HTTPSは暗号化と認証と完全性保護を兼ね備えたHTTP
HTTPのソケット部分をSSLやTLSに置き換えている。HTTPSはハイブリッド暗号システムである。ハイブリッド暗号システムでは、共通暗号鍵を公開暗号鍵を用いて交換しその後の通信はお互いの共通暗号鍵を用いて通信を行う。公開鍵が本物であることは認証局によって証明される。またクライアント認証もできるが、ユーザーにクライアント証明書を発行してもらう必要がある。