[ IP Network Skill - No. 0340 - ] HTTPS その1
発行日: 2007/12/14
‥‥……━━━━━━ IP Network Skill No. 00000340 ━━━━━━……‥‥
〜 HTTPS その1 〜
‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
【まえがき】
これまでHTTPについていろいろ説明してきましたが、「インターネット」
といって一般ユーザが扱うアプリケーションはHTTPとメールがほとんど
ではないでしょうか。
どのPCにもブラウザはついています。
携帯にもブラウザはついています。
したがって不特定多数に情報を発信したいのであれば、Webサイトを立ち
上げるのが手っ取り早いです。
ところが、中には悪意あるサイトや一般に「有害サイト」と呼ばれる、
コンテンツの内容が公序良俗に反したり、過激であったり、スパイウェア
などが含まれていたりするようなサイトもあります。
こういったサイトは知らず知らずのうちにたどり着いてしまうことも
あります。
良識ある大人であれば、自分で対処できると思うのですが、最近では
携帯でもWebへアクセスできて、子供や学生がそのようなサイトへ
アクセスすると社会問題の引き金になりえてしまいます。
そこで総務省は12月10日に「青少年が使用する携帯電話・PHSに
おける有害サイトアクセス制限サービス(フィルタリングサービス)の
導入促進を図る」要請をしました。
http://www.soumu.go.jp/s-news/2007/071210_4.html
(あとがきに続く)
╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
┃本┃日┃の┃試┃験┃対┃策┃問┃題┃
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥
〔問題1〕HTTPS通信について誤っているものはどれか?(2つ)
1.Web通信はセッション鍵で暗号化される
2.サーバ証明書はセッション鍵として使われる
3.サーバ証明書の使用は必須
4.クライアント証明書の使用はオプション
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
-----------------------------------------------------------------
この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.Amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworksk01-22
を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。
TCP/IPネットワークステップアップラーニングは第3刷を重ねました!
講習教科書などでご利用いただいています。
-----------------------------------------------------------------
【11.アプリケーションプロトコル】
11.15. HTTPS
11.15.1. HTTPSとは?
HTTP通信ではブラウザでhttp://www.example.comのようなURLを入力します。
URL内のhttp://という部分のhttpという文字をスキームとよび、ここがhttp
であればHTTPプロトコルを使って通信する、とブラウザが解釈します。
もう一つ、よく見かけるURLにhttps://で始まるものがあります。
これはHTTPSプロトコルを使っているということです。
HTTPSとは、HTTP over SSL(エイチティティピー・オーバー・エスエスエル)
の略で、SSLという暗号化プロトコル上でHTTPプロトコルが動作している、と
いうことを示します。
11.15.2. HTTPSの確認
例として、Yahoo Japanのログインページに行くとします。
https://login.yahoo.co.jp/config/login
このサイトにアクセスすると、ブラウザの右下に鍵のマークが現れます。
Internet Explorer (IE) でもFirefoxでも、その鍵マークをダブルクリックすると
証明書の閲覧ができます。
IEの場合、「全般」タブに「証明書の情報」とあり、発行者が Cybertrust Japan
Public CAとなっています。「証明のパス」というタブを見ると、ルートCA局として
GTE Cyber Trust Global Rootというものが表示されています。
次に、IEのメニューから
「コンテンツ」タブにある、証明書の情報で「証明書(C)...」というボタンをクリ
ックすると、証明書ダイアログが出てきます。
証明書ダイアログの「信頼されたルート証明機関」というタブに、あらかじめ
設定された信頼できるルートCA局の情報が入っています。アルファベット順に
並んでいて、このなかにGTE Cyber Trust Global Rootという発行先を見つける
ことができます。
ブラウザによって既に信頼されているCA局から発行された証明書をYahoo Japan
のサイトがクライアント(ブラウザ)に送ってきました。そのため、エラーメッ
セージなど表示されません。
しかし、独自に証明書を生成したようなWebサーバとHTTPSで通信すると、ブラウザ
が「この証明書は信頼されていません」といったような注意メッセージが出て
きます。
そのような場合は、ブラウザにその証明書を信頼されたものとしてインポートして
あげればメッセージは出なくなります。
ちなみにこの証明書は何のためにやりとりするかというと、秘密鍵の交換を
行うための暗号鍵(公開鍵)として使うためです。実際のWeb通信は、秘密鍵
で暗号化されます。
11.15.3. HTTPS開始までのシーケンス
HTTPを接続するときは、宛先ポートが80番のTCPコネクションを張って、その
コネクション上でクライアントがGETリクエストを送ったり、サーバがそれに
応じてファイルを200 OKレスポンスとしてクライアントに送りました。
HTTPSの場合、TCPコネクション上でSSLコネクションも張られます。
以下は、SSLコネクション確立までの流れです。
[クライアント] [サーバ]
| Hello Request (挨拶要求) |
|<----------------------------------------------|
| Client Hello (クライアント挨拶) |
|---------------------------------------------->|
| |
| Server Hello (サーバ挨拶) |
|<----------------------------------------------|
| Server Certificate (サーバ証明書) |
|<----------------------------------------------|
| Server Key Exchange (サーバ鍵交換) |
|<----------------------------------------------|
| Certificate Request (証明書要求) |
|<----------------------------------------------|
| Server Hello Done (サーバ挨拶終了) |
|<----------------------------------------------|
| |
| Client Certificate (クライアント証明書) |
|---------------------------------------------->|
| Client Key Exchange (クライアント鍵証明) |
|---------------------------------------------->|
| Certificate Verify (証明書確認) |
|---------------------------------------------->|
| Finished (終了) |
|---------------------------------------------->|
| Finished (終了) |
|<----------------------------------------------|
まずHelloのやりとりがあります。
クライアントのHelloの中にはSSL(TLS)バージョン、暗号パラメータ、圧縮方式、
などが含まれます。サーバはクライアントのHelloを受け取ると、応答としてHello
を返します。クライアントHello内のパラメータからどれを使うか指定します。
次にサーバが自分の証明書をクライアントに送ります。証明書が無い場合などは、
鍵交換が行われます。クライアントの証明書認証を行う場合、それを要求します。
クライアント認証が要求されたら、クライアントは自分の証明書をサーバに送り
ます。
Client Key ExchangeでWeb通信を暗号化する秘密鍵(セッション鍵)の生成に使う
文字列をサーバの公開鍵(証明書の一部)で暗号化してサーバに送ります。
この時点で秘密鍵が出来上がります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
かんたんネットワーク入門
http://www.amazon.co.jp/exec/obidos/ASIN/477412124X/ipnetworksk01-22
私のもう一冊の著書です。先日六本木の書店に行ったら、ネットワーク
関連の本の数は少なかったのにこの本は置かれていました、まだ売れて
いるようです。
ネットワーク入門の絵本で、初心者の方を中心に好評を得ています。
新入社員やネットワークを扱う企業のバックオフィスの方々(営業や
SEではなく、庶務、総務、アドミニストレータの方々)に自分の会社
で扱っている製品やネットワークの基礎知識を持ってもらうのにも
よい入門書です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
解┃答┃と┃解┃説┃
━┛━┛━┛━┛━┛
《本日の試験対策問題》
(解答)2、3
(解説)
サーバ証明書は必須ではなく、代わりに事前共有鍵を
使うこともできます。これは公開鍵として使われ、その後
セッション鍵(Web通信を暗号化する秘密鍵)を生成して
通知するときに使われます。
通常のインターネットでは、Webサーバは無数にあり、
それらすべてについてクライアント側で事前に共有鍵を
知っておくことは不可能に近いため、証明書(PKI)を
使ってHTTPSコネクションを張ります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆◆◆◆ ┃ あとがき ┃ ◆◆◆◆◆◆
(まえがきから続く)
実はこの要請は2006年11月に一度出ていました。
「近年、未成年者がいわゆる出会い系サイトなどインターネット上
の有害な情報にアクセスし、事件に巻き込まれるケースが多発し
ており、中でも、保護者の目が届きにくい携帯電話からのアクセ
スについては、未成年者を保護する観点から早急な対策が必要と
なっています。インターネット上の有害な情報への対応について
は、受信者側で情報の取捨選択を行うフィルタリングサービスを
利用することが有効であると考えられますが、フィルタリングサ
ービスの認知率は、未だに低水準にとどまっている状況にありま
す。このため、平成18年11月20日(月)、総務大臣から携
帯電話事業者等に対し、フィルタリングサービスの普及促進に向
けた自主的取組を強化するよう要請しました。」
http://www.soumu.go.jp/s-news/2006/061120_1.html
このときはドコモ、KDDI、ソフトバンクの3社への要請だったので
すが、今回はPHSのウィルコムも入っています。そのうちイーモバイ
ルにもいくんですかね。
PC向けにも無料のURLフィルタリングソフトがあったりします。
http://www.k9webprotection.com/license.jsp
中東のイスラム教国家では、宗教的な背景もあって国家的にネット
規制が敷かれています。国がネット接続を管理していて、接続ポリ
シーも決めているそうです。
これまでネット速度はどんどん向上してきましたが、技術的という
より費用的な問題で今後はそれほど速度向上が見込めないとも言わ
れています。不要なサイトへのアクセスは制限して、帯域や効率性
を確保することも必要です。
adzuki
………………………………………………………
IP Network Skill vol.000340 12/14/07
発行者:adzuki http://www.xai.nu/ipnet
…………… ipnet7@xai.nu ……
◎ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄◎
| 新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet
| IP Network Skill 掲示板
| ⇒ http://www.xai.nu/cgibin/ipnet/bbs.cgi
| バックナンバー一覧
| ⇒ http://xai.nu/ipnet/stack/index.html
| 間違いご指摘
| ⇒ メルマガにコメントを添えて返信ください。
◎_________________________________◎
![メルマガスタンド[メルマ!]](/img/common/melma_logo.gif){kind=logo}
>> メルマ!の会報誌もお届けします
