Security-testing-https-protocol-basics
提供:Dev Guides
セキュリティテスト-HTTPSプロトコルの基本
HTTPS(Secure Socket Layerを介したハイパーテキスト転送プロトコル)またはSSLを介したHTTPは、Netscapeによって開発されたWebプロトコルです。 これはプロトコルではありませんが、SSL/TLS(Secure Socket Layer/Transport Layer Security)の上にHTTPを階層化した結果です。
要するに、HTTPS = HTTP+ SSL
HTTPSが必要な場合
閲覧するとき、通常はHTTPプロトコルを使用して情報を送受信します。 このため、だれでも私たちのコンピューターとWebサーバー間の会話を盗聴することになります。 多くの場合、セキュリティで保護する必要がある機密情報を交換し、不正アクセスを防止する必要があります。
次のシナリオで使用されるHTTPSプロトコル-
- 銀行のウェブサイト
- 支払いゲートウェイ
- ショッピングサイト
- すべてのログインページ
- メールアプリ
HTTPSの基本的な動作
- HTTPSプロトコルのサーバーには、公開鍵と署名付き証明書が必要です。
- [[1]]
- https接続を使用する場合、サーバーはWebサーバーがサポートする暗号化方法のリストを提供することにより、初期接続に応答します。
- これに応じて、クライアントは接続方法を選択し、クライアントとサーバーは証明書を交換して身元を認証します。
- これが完了すると、ウェブサーバーとクライアントの両方が同じキーを使用していることを確認した後、暗号化された情報を交換し、接続が閉じられます。
- https接続をホストするには、サーバーに公開キー証明書が必要です。これには、キーの所有者のIDの検証を伴うキー情報が埋め込まれています。
- ほとんどすべての証明書は第三者によって検証されるため、クライアントはキーが常に安全であることが保証されます。