- https とは何ですか?
今、あなたのブラウザのアドレスバーを見てみてください。緑色のロックやセキュリティのマークが表示されているはずです。これは私のブログが https で保護されていることを示しています。
では、https とは何でしょうか?
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)は、安全な HTTP チャネルを目指したもので、簡単に言えば HTTP のセキュリティ版です。
引用元:百度百科
簡単に言えば、https はウェブサイトのコンテンツが改ざんされていないことを保証しています。
小さな物語#
しかし、https は完全に安全ではありません。私は知恵袋で次のような物語を見ました:(斜体は筆者の注釈です)
昔々、山にお寺がありました。お寺にはお坊さんがいました... いたわけではありません、お坊さんが来ました。
小僧がお坊さんに尋ねました。「なぜ ssl は http を安全にするのですか?」
お坊さんは答えました。「たとえば、私たちには共通のパスワードがあります。私があなたにメッセージを送るとき、このパスワードを使って暗号化し、あなたが受け取ったメッセージをこのパスワードで復号化することで、私のメッセージの内容がわかります。他の人がメッセージを盗んでも、このパスワードがわからないため、ただメッセージを見るだけで終わりです。このパスワードを対称鍵と呼びます。ssl は対称鍵を使用して http のコンテンツを暗号化および復号化するため、http を安全にします。一般的に使用される暗号化アルゴリズムには、3DES や AES などがあります。」
小僧は頭をかいてお坊さんに尋ねました。「師匠、もし私たち二人が「お坊さん」というパスワードを選び、そして「お坊さん」アルゴリズムを作り出したら、私たちの通信は安全になりませんか?」
お坊さんは小僧に戒尺で叩きました。「私が山下の小花に手紙を書く場合、まだ「お坊さん」というパスワードを使わなければなりませんか?考えてみたら、一堆のエンジニアが WEP という安全アルゴリズムを作り出しましたが、後でそれがただの飾り枕だとわかりました。さらに、小花は 3DES や AES しか知りませんが、「お坊さん」アルゴリズムを知っているわけではありません。」
小僧は尋ねました。「では、師匠、どうすればいいですか?」
お坊さんは言いました。「私と小花は各メッセージのパスワードを知っていれば、お互いの暗号化された手紙を読むことができます。問題は、お互いの間でどのようにしてこの対称鍵を知るかです。私が彼女にパスワードを手紙で送ると、手紙が他の人に盗まれた場合、みんなが私たちのパスワードを知ることができ、私たちの手紙の内容を読むことができます。しかし、解決策があります。私は江湖で秘密の非対称鍵を使っています。私は現在 2 つの鍵を持っています。1 つは「公開鍵」、もう 1 つは「秘密鍵」と呼ばれます。公開鍵は江湖で公開されており、多くの人が知っていますが、秘密鍵は私だけが知っています。これらの 2 つの鍵には数学的な関係があり、公開鍵で暗号化された手紙は秘密鍵で解読できますが、公開鍵では解読できません。小花は公開鍵を知っており、彼女は私に手紙を書くたびに、彼女の対称鍵を私の公開鍵で暗号化し、別の紙にパスワードを書き、彼女の手紙を彼女の対称鍵で暗号化します。その後、私は私の秘密鍵を使用してこの対称鍵を解読し、この対称鍵を使用して彼女の手紙を解読します。
このような暗号化方法は、自己署名証明書を生成することですが、これは完全に安全ではありません。具体的には、Chrome のアドレスバーに赤い線が引かれます。
お坊さんは一時停止しました。「残念ながら、彼女はいつも「お坊さんがなぜ手紙を書くのか」というような対称鍵を使用しています。だから、パスワードを解読するたびにがっかりしています。実際、私が好きな対称鍵は「風花」や「雪月」などです。最も頭痛の種は、「お坊さんがなぜ手紙を書くのか」というパスワードを使って小花に返信することを余儀なくされることです。このようなことは世の中で最も苦しいことです。しかし、私はそれ以上に苦しんでいる人がいることを知りませんでした。山下の屠殺者、彼は小花に長年片思いしていました。私たちの手紙のやり取りを見て、心の中で不満を抱いていました。彼は自ら香客の代わりに手紙を届けることを申し出ました。彼が小花に手紙を届ける最初の時、彼は彼自身の公開鍵を渡し、私の公開鍵が最新であると偽って言いました。小花はそれを信じ、以降の手紙の対称鍵は彼の公開鍵で暗号化されました。屠殺者は返信を受け取った後、彼自身の秘密鍵で小花の対称鍵を解読し、小花の手紙の内容をすべて見ることができました。さらに、このパスワードを使用して小花に手紙を書くこともできました。同時に、彼の秘密鍵を使用して小花に手紙を暗号化することもできました。私は手紙が変わっていることに気づきましたが、疑問が生じましたが、確かな証拠はありませんでした。一度、私は小花が最初に使用した対称鍵について尋ねる手紙を書きましたが、手紙の中に「お坊さんがなぜ手紙を書くのか」という言葉がありましたので、私の疑問は少し軽減されました。嵩山少林寺の老方丈を訪ねたときに、私はついに気づきました。私の公開鍵には火印がないため、誰でも私の公開鍵を偽造して自分のものだと主張することができます。その結果、その人は私に宛てた手紙を読むことができ、他の人に私に宛てた手紙を偽造することもできます。このような攻撃は「中間者攻撃」と呼ばれます。唯一の解決策は、嵩山少林寺の火印(CA 機関によって発行された証明書)を使用することです。この火印にはいくつかの注意点があり、私の公開鍵と私の江湖での地位を 18 羅漢委員会に提出する必要があります。彼らは私の情報を使用して委員会の秘密鍵でデジタル署名を行い、署名の情報が火印に表示されます。火印のある公開鍵の真正性は、江湖で誰も疑問視しません。18 羅漢は誰も怒らせない存在です。
小僧は尋ねました。「それからどうなりましたか?」
お坊さんは言いました。「嵩山少林寺から山上の寺に戻る途中、火印のある公開鍵を小花に直接渡しましたが、その後、小花から手紙を受け取っていません。1 年後になって初めて、実際に小花が私に手紙を書いたことを知りました。当時の手紙は火印のある公開鍵で暗号化されていましたが、屠殺者は私の秘密鍵を知らなかったため、小花のパスワード付き手紙を解読することができず、怒って手紙をすべて焼きました。また、屠殺者は小花の対称鍵を知らなかったため、手紙を返信することができず、小花はいくつかの手紙を送った後、音信不通になり、私は彼女の近況を心配しました。このとき、屠殺者は焦って私に手紙を送りました。私が手紙を受け取ったとき、不思議に思いました。手紙には豚脂の匂いがし、結末には私の秘密鍵について心配する言葉がありました。詐欺だとわかったので、私は手紙からパスワード付き紙を取り出し、小花の公開鍵でこのメッセージを解読しました。解読できない場合は、手紙全体をパスワード付き紙と一緒に捨てます。なぜなら、その手紙は小花が書いたものではないからです。解読できる場合は、その手紙は小花からのものであり、私は注意深く解読します。
小僧は言いました。「聞いたところでは、屠殺者は生きたまま苦しめられたそうですね。あなたの手紙のやり取りは頭が痛くなります。私が大人になったら、直接山下に向かって叫ぶことで、この手間を省くことができます。しかし、上の階の言葉は理解できます。ssl のハンドシェイクフェーズでは、火印を見たり、牡丹を読んだり、パスワード付き紙を解読したりする必要があります。確かに面倒です。一度、両者が対称鍵を知ると、解読と手紙の読み取りは非常に簡単です。
2014 年 4 月 28 日に編集されました
著作権は著者に帰属します。
出典:【HTTPS 要比 HTTP 多用多少服务器资源?】牟旭东の回答
ただし、すべての CA 機関が信頼できる証明書を発行しているわけではありません。例えば:
中国の WoSign(沃通)の SSL 証明書に対する信頼を Chrome が全面的に取り消しました
2016 年 9 月、Mozilla は中国の証明書機関 WoSign(沃通)が証明書の発行日を偽装し、他の証明書機関の買収を隠蔽していたことを暴露し、同機関が発行したすべての証明書の信頼を一時停止しました。Apple や Google もこれに続きました。最近、Google は、Chrome ブラウザが 9 月に新しいバージョンをリリースした後、WoSign およびその子会社である StartCom が発行したすべての証明書の信頼を取り消すと発表しました。現在これらのデジタル証明書を使用しているウェブサイトは、他の証明書に切り替えることを検討することをお勧めします。