HTTP vs HTTPS

5046 ワード
https http ネットワーク ネットワーク テキストリンク

1. HTTP vs HTTPS


前のドキュメントでHTTPについて議論しましたが、このドキュメントで検証してみましょう。

1.1 HTTPS Yes

  • HTTPS HTTPプロトコルを暗号化

  • クライアントとサーバ間の通信、すなわち要求と応答は、SSLまたはTLSによって暗号化される

  • HTTPS = HTTP + SSL or TLS

  • HTTPSは暗号化されたHTTPであり、全く異なるメカニズムではない.
    ->一般的なHTTPリクエストと応答の暗号化(TLSまたはSSLを介して)

    • 1.2 HTTPSの使用理由


  • どうすればいいのか分からないが、クライアントサーバが対話するサードパーティが往復のデータを抽出できるという.

  • この場合、HTTPは暗号化されていないため、第三者が盗んだデータを悪用することができるが、HTTPSプロトコルを用いて通信を行うと、交換されたリソースは暗号化された状態となり、第三者が盗んでも悪用することは難しい.

  • HTTPに対して悪意のある第三者(第三者)が
    GET /hello.txt HTTP/1.1
User-Agent: curl/7.63.0 libcurl/7.63.0 OpenSSL/1.1.l zlib/1.2.11
Host: www.example.com
Accept-Language: en

  • HTTPSの場合、サードパーティは次の暗号化要求を確認します.
    ```
t8Fw6T8UV81pQfyhDkhebbz7+oiwldr1j2gHBB3L3RFTRsQCpaSnSBZ78Vme+DpDVJPvZdZUZHpzbbcqmSW1+3xXGsERHg9YDmpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVRWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHQ==
```

    • 2.SSLとTLS Certificate

  • SSL、またはTLS技術を採用した証明書は、サードパーティがクライアント-サーバの相互作用を保証する電子化ドキュメントです.
  • クライアントがサーバにアクセスすると、サーバはクライアントに対応する証明書情報を送信します.
  • clientこの証明書情報が信頼できるかどうかを確認すると、次の手順に従います.
  • 証明書発行で有料で購入でき、発行先ごとに証明書商品の条件が異なります.
  • を購入する必要がありますが、httpsを正しく使用するには、対応する証明書を購入する必要があります.

    • 2.1 SSL (Secret Sockets Layer)


  • クライアントとサーバ間のデータを暗号化して読み取り不能にする

  • 公開鍵暗号化方法

  • 詳細な暗号化方法については、このドキュメントを参照してください。

    • 2.2 TLS (Transport Layer Security)

  • SSLのアップグレードバージョン(より安全+最新技術)
  • も同様に公開鍵暗号化方式
    • を採用する.
    SSLは依然として
  • セキュリティ証明書の共通名称であるが、SSL証明書を購入する際、実際に購入した商品はTLSである可能性が高い.(オプションの暗号化、例えばECC、RSAまたはDSA)

    • 3.では、証明書はどのように購入しますか?


    簡単にGoogle SSL certificateで証明書を発行するWebを見つけることができます.

    (証明書発行機関はdigicert)
    価格は千差万別で、無料ssl証明書を調べることもできます.△本当に無料なのか分からないので、適当に探してみるのも少なくない.
    ただし、無料で証明書の有効期限が非常に短く、頻繁に更新する必要がある場合は、chromeがnotsecure警告を発行する可能性があります.
    要するに、証明書発行機関から証明書を購入し、さまざまなステップを経て、証明書をインストールし、いくつかのステップを経て...最後にdomainをhttpsに変換するとhttpsプロトコルを使用するサイトになります.

    httpをドメインとして使用し、http証明書がインストールされているWebであれば、このようなロックが発生します.(chromeベース)

    ロックをクリックすると、このようにHTTPSを使用する説明と証明書発行対象に関する情報が表示されます.

    「リリース・オブジェクト」をクリックすると、リリース元とリリース済証明書の仕様が表示されます.気になる場合は、確認してください.

    リリースプロセスがもっと気になるなら...


    https://opentutorials.org/course/228/4894
    先ほどSSLエントリーに入れたリンクですが、購入後のアプリは全て詳細に記録されていますので、詳細を知りたければ確認してみてください.

    4. Is HTTP insecure?

  • はウェブページを閲覧するときだけnopeです.
  • しかし、登録銀行や支払情報のやりとりなどの機密情報を処理する場合、安全ではないといえる.

    • 5.HTTPをそのまま使ってはいけませんか?

    HTTPSを使用するには、証明書の購入が必要であり、ドメインをhttpsに変換する必要があります.
    上のSSL TLSリンクの説明を見ればわかりますが、とても複雑です.
    お金もかかるし面倒だし、httpを直接使えないの?
    答えはどうでもいい.
    逆に、Webへのアクセスを導入したユーザーは、次のAlertを毎回チェックします.(少なくともクロム上)

    TLS/SSL証明書を購入せずにhttpsのみでaddressを貼り付けるとどうなりますか?

    今では大きな警告があります.
    もう入りたくない
    httpを堅持すれば、ユーザーに壁に入ることになります.Webサービスを真剣に運営したいなら、証明書を取得しなければなりません.

    追加


    HTTPS証明書を購入したWebで、アドレスを変更していない場合は、urlを直接httpsに変更してアクセスすることで、安全に閲覧できます.
    にこにこ

    References

  • What is an SSL Certificate
  • Not Secure warning in Chrome
  • SSL and TLS
  • Why is HTTP not secure?
  • SSL証明書(生活コード)
  • SSLとは何ですか。なぜHTTPSが必要ですか。
    • ウィジェット共有転送onShareAppMessage
    挑戦者毎日認証(7)完走していない選手