HTTPS / TLS
HTTP 通信を TLS で暗号化し、盗聴・改ざん・なりすましを防ぐプロトコル
セキュリティネットワーク
HTTPS / TLS とは
HTTPS は HTTP を TLS (Transport Layer Security) で暗号化したプロトコルで、通信の盗聴・改ざん・なりすましを防ぐ。TLS は SSL の後継で、現在は TLS 1.3 が最新。全ての Web サイトで HTTPS が標準であり、HTTP のみのサイトはブラウザが警告を表示する。
TLS が提供する 3 つの保護
| 保護 | 説明 | 防ぐ攻撃 |
|---|---|---|
| 暗号化 | 通信内容を第三者が読めない | 盗聴 |
| 完全性 | 通信内容が改ざんされていない | 中間者攻撃 |
| 認証 | サーバーが本物であることを証明 | なりすまし |
TLS ハンドシェイク (TLS 1.3)
クライアント → ClientHello (対応する暗号スイート) → サーバー
クライアント ← ServerHello + 証明書 + 鍵交換 ← サーバー
クライアント → 鍵交換完了 → サーバー
→ 暗号化通信開始 (1-RTT)
TLS 1.3 は TLS 1.2 より 1 RTT 少なく、再接続時は 0-RTT で通信を開始できる。
ACM は無料で TLS 証明書を発行・自動更新する。CloudFront、ALB、API Gateway に設定できる。
TLS 1.2 vs TLS 1.3
| 観点 | TLS 1.2 | TLS 1.3 |
|---|---|---|
| ハンドシェイク | 2-RTT | 1-RTT (再接続 0-RTT) |
| 暗号スイート | 多数 (脆弱なものも) | 安全なもののみ |
| 前方秘匿性 | オプション | 必須 |
HSTS
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
ブラウザに「このサイトには常に HTTPS でアクセスせよ」と指示する。HTTP → HTTPS のリダイレクト前の攻撃を防ぐ。
Let's Encrypt vs ACM
| 観点 | Let's Encrypt | ACM |
|---|---|---|
| コスト | 無料 | 無料 |
| 更新 | 90 日ごと (自動更新) | 自動更新 |
| 対象 | 任意のサーバー | AWS サービスのみ |
基礎から学ぶなら関連書籍が手がかりになる。