今なぜHTTPS化なのか？インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景

「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか？

確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか？ そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか？

こうした疑問に答えるべく、この記事ではHTTPSおよびTLSについて歴史的経緯と技術的な背景を説明します。 さらに、そうした背景を踏まえて、Webサーバを安全にHTTPS化するための技術的な要件を解説していきます。 最後に、HTTPS化したあとを見据えてIETFで仕様策定が進められている新しいプロトコル、TLS1.3とQUICの概要について説明します。

• HTTPSのおさらい
  • TLSが提供する機能
  • TLSのハンドシェイクの仕組み
    • 1. パラメータの交換
    • 2. サーバ認証
    • 3. 鍵交換（ECDHEの場合）
    • 4. 暗号化通信の開始、ハンドシェイクの改ざんチェック
• 全面的なHTTPS化へ向けて
  • 一昔前までのHTTPSの使われ方
  • 国家的かつ広範囲な盗聴行為（Pervasive Surveillance）が明るみに
  • すべてHTTPS化する理由
  • 将来的に平文のHTTP通信はフェードアウトの方向に
  • 世界のHTTPS利用状況
• HTTPS化に残る課題
  • HTTP/2仕様がHTTPSとHTTPの両方でサポートされている理由
  • トラストアンカーをめぐる認証局とブラウザベンダの関係
• 安全なHTTPSサーバを作るために知っておくべきこと
  • できるだけ最新のソフトウェアを使用する
  • 定期的にサーバの安全性をチェックする
  • 将来を見据えたTLSプロトコルバージョンを選択する
    • SSL2.0/3.0
    • TLS1.0
    • TLS1.1
    • TLS1.2
    • TLS1.3
• 今後どうなる？ TLS1.3やQUICへ
  • TLS1.3でセキュリティだけでなく接続性能も向上
  • TLS1.3の代表的なハンドシェイク（1-RTT）
    • 1. クライアントパラメータの送付と鍵交換
    • 2. サーバパラメータの送付
    • 3. サーバ認証、ハンドシェイクの改ざんチェック、アプリケーションデータの送受信
    • 4. 再接続用チケットの送付
  • いきなりアプリケーションデータを暗号化して送る0-RTT
    • 0. 前提条件
    • 1. クライアントパラメータの送付、鍵交換、0-RTTのアプリケーションデータの送付
    • 2. サーバパラメータの送付
    • 3. ハンドシェイクの改ざんチェック、アプリケーションデータの送受信
    • 0-RTTのセキュリティリスク
  • IETF QUIC
• リファレンス
• 執筆者プロフィール

HTTPSのおさらい

エンジニアHubに会員登録すると
続きをお読みいただけます（無料）。

GitHubで登録 メールアドレスで登録

氏名

氏名カナ

メールアドレス

パスワード

登録して、記事を全文読む（無料）

登録ボタンを押すと、利用規約とプライバシーポリシーに同意したことになります。

ログインはこちら

登録のメリット

• すべての過去記事を読める
• 過去のウェビナー動画を
  視聴できる
• 企業やエージェントから
  スカウトが届く