ブログ

Blog

常時SSLと復号化のしくみ

常時SSLと復号化のしくみ

皆さん、こんにちは

えんピぐらしです。
久々の投稿になります。

sslやhttpsという言葉を聞いたことはありますか?

IEやchromeでWebサイトにアクセスする時に、アドレスバーがhttp://〜や、https://〜となっているのをご存知の方も多いと思います。

今回は、https://〜の方に焦点を当てていきます。

https(ssl)とは?

httpsは、「HTTP over SSL/TLS」の略です。「s」1文字がだいぶ省略されています。

httpはブラウザでヤフー等アクセスする時のプロトコル(決まりごと)、sslは暗号化のプロトコルになりますが、https自体はプロトコルではありません。
httpアクセス時にssl暗号化を使うのがhttpsです。

https://ja.wikipedia.org/wiki/HTTPS

最近のトレンド「常時SSL化」とは

これまでは機密情報の含まれた通信が発生するページのみsslとなっていました。
例えば、IDとパスワードを使うログイン画面、ショッピングサイトのカートの中身などです。
その代わり、トップページやお知らせ等のページは特にsslになっておらず、httpでアクセス可能でした。

しかし、今後はWebサイト全体をSSLしていく流れが主流になっています。
これを「常時SSL化」と言います。

(https://zenlogic.jp/aossl/basic/attention/)

この流れが進んでいく大きな要因として二つあります。

一つ目が有名な大手Webサイトが常時SSL化したことです。
すでにグーグル、フェイスブック、ツイッターなどの有名な会社では常時SSL化されています。

https://zenlogic.jp/aossl/basic/watch/#link02

もう一つの理由が、Google検索のランキング要因にhttpsか否かを含めると発表したことです。

https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

Googleの検索ランキングはマーケティングにおいて、重要な要素となっているのは言うまでもありません。 常時SSLにした方が、より上位に組み込める可能性がでてきました。

SSLって本当に安全なの?

それでは実際に、「WireShark」を使ってhttpとhttpsの通信の違いを見ていきましょう。
安全性の違いが分かると思います。

※「WireShark」の使い方はここでは割愛しますが、実際にこうやって通信を覗き見ることができます。

まずは、環境としては以下のようにしています。

Webサーバ側:
Cent7.2(OS)
Apache2.4.6(Webサーバ)
Openssl1.0.1e-60(SSL)
証明書は所謂「オレオレ証明書」
※ネットで検索すると情報が出てきます。

IPアドレス:192.168.29.131
ホスト名:ssl.test

クライアント側:
Windows 7(OS)
IE11(ブラウザ)

IPアドレス:192.168.29.1

それではhttpのアクセスです。

トップページにアクセスしただけですので、あまり内容は分からないかと思いますが、この通信は、クライアント側からWebサーバへのリクエストの中身(Hypertext Transfer Protocol)を見ることができます。

次はhttpsです。

「本当に同じなの?」と思われるかもしれませんが、。
Encrypted Application Dataが変な文字列が続いているだけで、まったく意味が分かりません。

ポイントは、ssl通信においては、ソースIPとデスティネーションIPしか分からないという点です。
つまり、どのページにアクセスしたのかさえ、分からないということです。
(今回はhttp://ssl.test/にアクセスしています)

それほど安全だという意味でもありますが、セキュリティを強化する目的で導入したプロキシやファイアーウォールでもその中身が分からないので、完全にスルーしてしまいます。

じゃあ、Webサーバはどうやって見るの?

次に、実際にWebサーバが暗号化された通信をどうやって見ているのか、確認します。
以下のサイトが詳しいので参考にしました。

http://d.hatena.ne.jp/ozuma/20140413/1397397632

Webサーバ上にある秘密鍵が必要になります。

それでは実際に復号化した通信をご覧下さい。

httpと同じように中身が見えましたね。
このようにして復号化が可能になります。

次回は・・・常時SSL化の落とし穴

今回でも少し触れましたが、次回は常時SSL化の落とし穴とその対策をみていきます。

通信が見えないことで どんな問題が起きるのか・・・
次回をご期待下さい!

「かんじんなことは、目に見えないんだよ」- 星の王子さま -

  • SNS
  • 投稿日
  • カテゴリー

    BTM Useful