ようこそ!浜村拓夫の世界へ

    ブログ内検索

    最近の記事

    ブックマーク数の多い記事

    Blog Translation

    Powered By FC2ブログ

    Powered By FC2ブログ
    ブログやるならFC2ブログ


    FC2ブログ LOGIN

    with Ajax Amazon

    SSL通信で暗号化されない情報

    このエントリーを含むはてなブックマーク はてなブックマーク - SSL通信で暗号化されない情報 あとで読む
    インターネットの利用時に、SSL(TLS)技術は必須のものとなりつつあります。

    (参考) Googleが常時SSL接続を推奨
    Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します (2014/08/07)
    Google ウェブマスター向け公式ブログ: HTTPS ページが優先的にインデックスに登録されるようになります (2015/12/18)
    常時SSL化のする為の資料 - Qiita (2017/09/06)

    ●SSLで暗号化されない情報
    SSLを使うと、通信の内容が一部暗号化されます。
    SSL/TLSの解説と選び方まとめ|ジオトラスト

    暗号化される情報と、暗号化されない情報は、どのような部分でしょうか?

    WebのTLS通信における暗号化される範囲と暗号化されない範囲 - Webinar

    TLSの暗号化範囲
    httpsで始まるURLのWebページにアクセスすると、TLSを用いた暗号化がされてWebサーバにパケットが向かっていきますが、そのパケットには以下のような情報が含まれています(これが全てではありません、また通信の途中にミドルボックスなどを経由すると変化する情報もあります)。

    1. 宛先(Webサーバ)IPアドレス/ポート番号
    2. 自端末のIPアドレス/ポート番号
    3. 宛先のURL
    4. 宛先に向けたHTTPリクエスト

    そして、上のパケットへの返答としてのパケットには以下のような情報が含まれています。

    5. Webサーバ/自端末のIPアドレス/ポート番号(=上記1、2)
    6. HTTPレスポンス
    7. Webコンテンツ

    このうち、TLSで暗号化されるのは3、4、6、7のみです。

    Webサーバと自端末のIPアドレス/ポート番号は暗号化されません。



    接続元と接続先のIPアドレス、ポート番号は暗号化されないので、「どこに接続しているか?」は丸見えなんですね。

    あなたが受け取っているコンテンツ内容はTLSによって暗号化されているため、どんなコンテンツを見ているかが盗まれることはありませんが、「どこに」アクセスしているのかは盗まれているかもしれません。

    街なかにある、暗号化されていないWi-Fiアクセスポイントに接続して通信するようなときには、何が暗号化されていて何が暗号化されていないか、をなるべく意識して使った方がよさそうです。



    HTTPS通信時のURLは暗号化されるか - うまいぼうぶろぐ

    ・HTTPS通信中のURL情報は暗号化される
      盗聴されてもURLはばれない
    ・web serverのログにはURLは復号されて記録される
      ログを残すかは設定次第



    ・接続先のサーバーに、通信ログ(記録)が残されていれば、サーバーをクラックされたら、通信内容が解読可能。
    ・または、接続先のサーバーをクラックされたら、SSLに使う秘密鍵が盗まれて、通信内容が解読可能。

    ●まとめ
    通常のSSL/TLS通信で、接続先のURLやコンテンツ内容は暗号化されているけど、接続先と接続元(自分)のIPアドレス、ポート番号は暗号化されていません。
    DNSで調べたら、接続先のIPアドレスからある程度ドメインは推定可能ですね。
    接続先のサーバーがクラックされたら、通信記録や秘密鍵から、通信内容は解読可能となります。

    まあ、SSL(TLS)は、気休めみたいなもので、「使わないより使ったほうが良い」程度のものでしょう。
    関連記事

    コメント

    コメントの投稿


    管理者にだけ表示を許可する

    トラックバック

    トラックバックURL:
    http://hamamuratakuo.blog61.fc2.com/tb.php/1449-c0e09af1

    FC2Ad