【セキュリティ】httpsで防げることは何か?


ページ作成のきっかけ

google の昔のポリシー「邪悪になるな」への違和感。安全な接続、接続が安全ではないという表現の不正確さ。

そしてその違和感の理由を探り、気持ちを整理するため。ついでにあわせてhttpsについて理解があいまいなところを整理する。

ssl通信で防げること

http通信を ssl/tlsで暗号化した方式がhttpsプロトコル(通信規約)です。

PC
Browser

Internet
 http
  SSL(https)
FW/Proxy
Web server
ユーザ

機能の範囲としては、ブラウザからサーバの間を暗号化します。おもに、httpコネクションを張るときは途中での改ざん防止目的(相手側のサイトを特定する)で、一旦張った後は盗聴防止にもなります。

個人のページやプライベートなページは ssl化するのは常識なので、ここでは議論しません。個人のページでももちろん公開するページはあります。

メリデメ

上記以外の主なメリット、デメリットは以下のものがあると思います。

  • サーバ負荷が上がる
  • httpレスポンスが落ちる
  • 改ざん検知
  • 盗聴防止
  • リファラーが見えない
  • http/2.0の導入で有利?
  • 運用コスト

負荷とレスポンス

サーバ側でSSLを処理するので、処理負荷はあがります。ただし、それほどの負荷ではないらしいので、影響は小さいでしょう。小飼弾さんもそう発言していたし、実装上の仕組みも、SSLは最初だけPKI基盤を使い、あとは共通鍵で行うため高負荷は最初のコネクション時だけです。

すでにオープンな情報を負荷の高いhttpsにする必要は感じません。エネルギーの無駄ですし、サーバ構成上、ライトに作れる部分でさえもFWの裏にもっていく必要があるので、無駄を感じます。

改ざん検知

サーバとユーザの途中は基本改ざん防止が可能です(一部後述)。

改ざん検知といえ、サイトがサーバ上で直接改ざんされていたら防げません。。サイトが信頼置けなければ、安全とは言えません。

改ざん防止と言っても、サーバが物理的または論理的に侵入されていれ改善されていれば、改ざん防止は検知できません。 たとえchromeが安全ですといっても tripwire等の別の機能が必要です。 証明書に表示されている内容が正しいかの確認が必要です。

中間者攻撃を防ぐといっても、GateWayやDNSが侵入されていたら、たとえchromeが安全ですといっても同じく改ざん防止となりません。証明書に表示されている内容が正しいかの確認が必要です。

ハッカーによる「DNSハイジャック」の急増が、インターネットの信頼性を破壊する|WIRED.jp

https://wired.jp/2019/04/18/sea-turtle-dns-hijacking/

フェイクニュースのケースでは?

フェイクニュースは、そもそも改ざんが原因ではないでしょう。推定ですがサイト自体で書かれている内容が問題で、その情報が"書き換えられず"に正しくそのままユーザ側に届いています。

サーバの途中で書き換えられるのが問題ではありません。

補足:自己証明書

自己証明書。オレオレ証明書というのは電子証明書自体にもレベルがあるように、担保が低いですが、証明には変わりありません。

https導入意図であるサーバからの改ざんは防止されます。そのサーバの証明書を信じるかどうかは、ドメイン認証団体(CA)を信じるかどうかと本質的にはさほど変わりません。

世間一般の信頼度の違いです。あなたが付き合いが深く信頼しているのであれば、信頼してもいいのです。その証明書が本物と何らか確認済みであればなおのことです。(物理的でなく複製が容易なデジタルの世界ということを意識しておく)

盗聴防止

途中経路の盗聴については、httpsの他にもVPNがあります。盗聴を防止したいのであれば、必要でしょう。

例えば、マイナンバーや電子投票のようなときはVPNで、地方公共団体やJ-lis同士でつながると思います。

スノーデンの告発にあるように、実際問題、アフガンのテロ、沖縄基地の支援金向けプロパガンダ、横田基地への兵器投入、捕鯨活動(アメリカはアメリカン原住民を除いて限定的に反捕鯨)であるファイブ・アイであるオーストラリア、ニュージーランドに盗聴内容を連絡しているという話もあります。

しっかりと暗号化されていたのか、という観点もありますが、ITの世界では、大事な情報を暗号化するのは当たり前なので、このページでは深く議論しません。(重要な情報は機密レベルに合わせ暗号化しましょう)

スノーデンの警告「僕は日本のみなさんを本気で心配しています」(小笠原 みどり) | 現代ビジネス | 講談社(3/5)
https://gendai.ismedia.jp/articles/-/49507?page=3
米国内のケーブル上陸地点を通過すれば情報を盗むことができる。

https://gendai.ismedia.jp/articles/-/49507?page=3

リファラー

知らなかったのですが、httpsから httpに代わるときにリファラーをはじく仕組みがあるそうです。Google アナリティクス だけで eW3Cにはないかと思いますが、、よく情報を探せませんでした。

ああ 常時SSL化に対応することにより、リンク元がHTTPSであってもHTTPであってもリファラが常に引き継がれるようになり、解析の精度が上がることが期待できる。

https://webtan.impress.co.jp/e/2018/05/23/29268

ユーザーがhttpsサイトからhttpサイトに移動する場合は、このリファラーが渡されず、参照元無しとなるノーリファラー(no referrer)

http://growthseed.jp/experts/seo/ssl-merit

※懸念点の一つであったリファラーが読めるのであれば、 個人的に 悪意はそれほど感じなくなってきた。

http/2.0

http/2.0は、一度の複数ファイルの要求ができるので5Gと相性がいいかもしれません。

仕様上そのプロトコルが http だけではなく、httpsも利用できます。また、 Webサーバ側は両方提供できても、メジャーなブラウザはhttpsのみ提供しているそうです。

運用コスト

2018年年末ごろ、ソフトバンクの通信網が遮断されました。ヨーロッパの会社と連携した証明書が切れていたようです。期限以外全く問題なかったのにもかかわらず、多くの人が不便をこうむりました。まあちゃんと対応していればいいという問題ではありますが、全サイトや通信分、SSLを管理するのは運用上大変です。

運用についてもう一つ言うと、現状は 正確に言うとTLS 1.2が必要です。それ以外の SSL1.0 、3.0, TLS 1.0/1.1などは、セキュリテイ問題があるため軒並みNGとなっています。SSL 3.0は そういえば、poodle( 2014年 ) なんてかわいい名前の脆弱性でした。

またサーバ側も OpenSSL(2015年)も問題が何回か起きています。

privateではないところまで、通信が途絶えると震災などの際大事な情報を読んでいいのか・信頼していいのか一般の人は不安になるばかりで、命に関わるかもしれません。

このようにつまりセキュリテイ問題が発生するpublicな情報でさえ、 いつもと変わらず同じものを送っても、 警告が出ることになります。ただ「ネット上のシステムで保証できていないだけなのに」です。

もう一度言いますが、ネット上のシステムでサーバからの改ざんはされてないと証明したところで、適切なところからの情報(ドメイン名の確認等)かは判断する必要はありますし、サーバが侵入されていないことも保証されていません。その団体や発言内容についても、改ざんの面でも事実的な正しさの面でも、安全ですとは言い切れません。

これをWebページ管理者側がやるとしたら受け身(盲目的に不安に駆られて従う)になるのは必然でしょう。それよりもリスクを理解して、今から対応できるようにしたほうが良いと思います。

「安全」や「盗聴」という2文字では、あいまいです。このようなおおざっぱで、不適切かつ誤解を与える表現を用いるのは問題です。理解しない人たち(自立していない)人たちを増やしてはいけません。

SSL所証明書を無料化してくれているので、低レベルのドメインは安くなりました。

逆に言えば証明書はお金を出せば買えるのです。信頼していい団体かという担保にはなりません。どんな団体であろうと、証明書は発行者がその団体かを担保しているに過ぎないのです。

また証明書に出てくるドメイン名はUnicodeが表示可能なので、アルファベットだけでなく、日本語など世界の似たような単語で書かれている場合、ドメイン名の正しさを見分けるのは著しく困難です。

【無料SSL入門】「Let's Encrypt」とは?設定で挫折しない!使い方解説 | カゴヤのサーバー研究室
日本語ではレッツ・エンクリプトと読みます。無料ですぐに利用可能なSSLサーバー証明書で、アメリカの非営利団体ISRG (Internet Security Research Group) が、2016年から提供しているサービスです。

https://www.kagoya.jp/howto/webhomepage/lets-encrypt

その他のメリット、考え方の違い、関係ないこと

http/httpsの混合

他のサイトを引用した時の混乱。これについては、https,http関係なく起こる問題なのでしょうがないが、他のサイトを引用して取り込んでいてhttpsのミスがあると閲覧者に不審がられるかもしれません(問題はレア)。

httpやhttpsが混在するからと言って漏洩につながるのではなく、 漏洩 ・改ざん等につながるのは、設計ミスの範囲と考えていいと思います。 どちらも設計ミスで両方のプロトコル関係なく起こるので、 このページでは対象外です。

HTTPとHTTPSが混在しているとCookie情報の漏洩や改ざんにつながりかねない

https://webtan.impress.co.jp/e/2018/05/23/29268

google をどこまで信頼するか

google をどこまで信頼するか

無根拠に信じる必要はありませんが、以下のようなうわさもいくつかコンスタントに出てきています。

httpだとリファラーやキーワード等も読み取れなくなっているので、 情報を 囲い込んでしまわないか心配です。 httpsなら できるらしいですがリファラーの情報を共有してほしいと思います。

「Googleは長年にわたってパートナーだったFirefoxを妨害してきた」とMozilla元幹部が主張 - GIGAZINE
https://gigazine.net/news/20190419-google-has-sabotaged-firefox/

GoogleはMicrosoft Edgeを蹴落とすためにYouTubeを意図的にイジっていたとEdgeの開発者が指摘 - GIGAZINE
https://gigazine.net/news/20181219-microsoft-edge-html-chromium/

※MSもブラウザの世界を壊したのは社会にとって良くないことだと思いますし、officeでいらない機能を数年ごとにひと機能定価で3万円位払わせるのも問題だと思いますけどね。

情報を集めた集権化

google page rankも ページ間のつながりが重要で、google page rankも被リンク数を重視していますが、自ら破壊しているようです。広告料を払うとランクが上がったり、主に、お金をかけたほうが上がれるからです。

各ページでトラッキング(驚くほど Web情報メジャーサイトを網羅しています。ページを開いて google analysysの scriptがかかれていたらそう)されているにもかかわらず、 googleは検索エンジンからrefererを除いて検索エンジンを提供しています。そのため、情報提供者であるWeb作成者は、どういう意図(探し物の原因)できているのか、他のサイトとどういうつながりがあるのかという情報がなくなり、Webページがばらばらになりつつあります。

Webページがバラバラになりつつあることには、Web や JavaScriptの生みの親も同様の指摘をしています。

Webの生みの親バーナーズ=リーは中央集権化しているWebの現状を憂いている - GIGAZINE

https://gigazine.net/news/20180704-web-inventor-regret/

The web is broken; let’s fix it - O'Reilly Media

https://www.oreilly.com/ideas/the-web-is-broken-lets-fix-it

もうすぐ絶滅するという開かれたウェブについて - WirelessWire News(ワイヤレスワイヤーニュース)

https://wirelesswire.jp/author/yomoyomo/

Webというのは情報にどんどんアクセスでき、自律的にいろんな方向に発展するから役に立ち、面白いのです。いろいろな有象無象の意見が飛び交い、その中を切り開いていくのが大事です。失敗するチャンスがあるというのも大事なことです。

https化により、一層ばらばらの流れが加速するのはぜひとも防ぎたいことです。

まとめ

一般的な問題であるWebサーバでの改ざんに効果はありませんし、改ざん防止についても限定的です。httpであるから一部が担保されないことをもってリスクのあるサイトと断定するには、https側にも改ざんに対するリスクでさえも残っている現状、不適切と思わざるを得ません。このようにhttpだから保証されてなく、httpsであれば安全ですという短い文言で言い切るには、根拠が苦しいです。

httpsを強制ではなく推奨するであったり、もう少し丁寧な説明、そしてhttpがまるで完全にNGであるかの表現の氾濫は問題があると思います。

httpsでも防げることは、限定的ですので、目的に応じた適切なツールの活用と判断をぜひ忘れないようにしたいと思いますし、進めます。

接続に問題があるといわれれば、一般の人はサイトがウイルスにかかっているのか、犯罪者のページとか思われかねません。(まあちゃんと読まないのが悪いというのがありますし、httpsにすればいいというのもありますが、意味なく従うのは遠慮してもう少し粘りたい。)

思想については、各人の判断に任せるので、各社の判断でSSL推進するのはありですが、せめて、 googleにおいては、適切で明確な表現に置き換えてほしいものです。(まあ、Googleではなく、周りが強制だ、危ないって騒いでいるだけかもしれません)

参考

今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 - エンジニアHub|若手Webエンジニアのキャリアを考える!

https://employment.en-japan.com/engineerhub/entry/2018/02/14/110000#%E3%81%99%E3%81%B9%E3%81%A6HTTPS%E5%8C%96%E3%81%99%E3%82%8B%E7%90%86%E7%94%B1
Delicious にシェア
Digg にシェア
reddit にシェア
LinkedIn にシェア
LINEで送る
email this
Pocket

20 views.



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です