るみさんのブログ

無理にSSL化する必要って無いんじゃね?

作成日:2024-09-06 11:41:47
最新更新日:2024-09-06 13:37:12

抑SSL化ってなんぞや


SSL化と言っているけど、TLS化のこと
ウェブサイトを見るときにURLの先端がhttpsになっているほうが良い、みたいな話は聞いたこと有るんじゃないだろうか?
元々はhttpだけど、そこにセキュアを意味するsを付けてhttpsという訳。

アニメのサイトを見てみると、よくSSL化されてないサイトが有ると思う。

抑SSL化をする意義とは?


SSL化をすると、通信内容を秘匿できます。
例えば、ログインフォームが合ったとしましょう、
「ユーザーID:Rumisan/パスワード:4423」という情報を送った場合どうなるかと言うと、
SSL化していないと、傍受されてバレてしまうわけ。
だから、通信内容を秘匿したほうが良いということ、私もログインフォームとか「個人情報を送信する場合」はSSL化したほうが良いと思う。

SSL化過激派「SSL化しないとどのサイトを見ているかバレる!」


まず、SSL化するときに「SSLで通信するよー」という通信をします、Client helloとかそういうやつ。
そこで「私はexample.comというドメインにアクセスしたいから、証明書もそれ用のを用意して」
みたいな通信をする、そう、此の時点では平文だからどこのサイトにアクセスしているかはバレている。
ドメインというのは、URLのxxxx.comの部分、プロトコルはhttps://で分かるから、
すでに「このIPの人はhttps://example.comを見ている」ということは傍受すれば分かる。
まだこの先の「/index.html」みたいな部分は分からない、というか「このパスのファイル頂戴」
という通信をする時には既にSSL化して暗号通信してるのでわからん()

そもそも、誰もお前に興味はない


さて、貴方が例えば「国土交通省」のサイトを見ていたとしましょう。
しかし、傍受している人には貴方の名前はわからなく、代わりにIPがわかります。
適当に「123.456.789.123」とでもしましょうか、
傍受している人は「123.456.789.123がwww.mlit.go.jpにアクセスしたな」と気づきます。

だから何


別に貴方が国土交通省のサイトを見ていても、そんな事ハッカーには興味ありません。
ハッカーが興味有るのは、貴方のカード情報やパスワードであり、ましてやAmazon等のショッピングサイトでも無いなら貴方の通信履歴を追う必要はありません。
貴方の通信履歴には1円の価値も無いのです。
というか時給換算すれば価値はマイナスでしょう、
暇ならともかく、そんな事するならバイトしたほうが稼げるでしょう。

というか、抑傍受している人は「123.456.789.123が貴様」であることもわかりません。
「IPから住所を逆算」はできます、出来ますがデタラメです。
私のIPは愛媛の公園を指しています、愛媛なのは正解ですが公園に住んでいるホームレスではありません。
万が一「ピンポイントに」貴方の家を指していたとしましょう、実際ありますし。
しかし、抑ハッカーはその住所情報を宛にはしませんし、もし当てにするなら「学校のパソコン室でコマンドプロンプトを出してtreeコマンドでイキってる中学生」程度でしょう。
※コマンドプロンプト:Windowsの標準アプリ、如何にもハッカーが使いそうだが実際はそんな事無い。
※tree:フォルダの構成をツリー上に表示する、色々文字がバーと出てハッカーみたいに見えるから人気
抑ハッカーは強盗ではありません、態々貴方の家に侵入して泥棒なんてしませんし、
貴方が相当な恨みを買っていなければ殺しに来ることもありません。
愉快犯が居たとしても、やるならその愉快犯の住んでいる近所を狙うでしょう。

何よりショッピングサイトを見ているわけでもない人なんて興味ありません。
そしてショッピングサイトは大抵、SSL化しているので、狙うのは暇なハッカーぐらいでしょう。

じゃあ個人情報扱わないならSSL化しなくてよい?


そうとも限りません、まずHTTPにはバージョンがあり、現在の最新バージョンは3.0です。
しかし3.0はなぜか普及していなく、現状多いのは2.0です。
1.0と2.0の違いは、1.0はテキストベースですが、2.0はバイナリらしいです(よく知らん)
もっと分かりやすく言うなら、
Aさんは日本語を文章で通信します。
Bさんはモールス信号で通信します。
Aさんの日本語の文章では、漢字が使われるため画数も多く、書くのに時間が掛かります。
しかし、Bさんの場合、文字は-と.であるため、素早く書くことが出来ます、
みたいな感じです。
之と似たように、「1.0は英語」「2.0は16進数」みたいになっています。
後者は最早英語なのかすらわかりません(というか2.0の通信内容を見たことがない)が、
おそらく0x01,0x02みたいに短縮しているのでしょう、多分、きっと、おそらく(2.0に関しては自身がない)

さて、「とりあえず2.0のほうが早いんだな」と分かっていただけたでしょう、
視覚的にわかりやすくしたサイトが合ったので貼っておきます
「これとSSL化なんの関係が有るんだ?」と思うでしょう。
私も衝撃だったのですが、どうやら「2.0はSSL化しないと使えない」模様。
よく考えれば、HTTPにはサーバーのバージョンを知らせる機能がありません。
SMTP等では、「EHLO」コマンドなどを使用することで「鯖がなんの機能を有しているのか」を調べることが出来ます。
よく考えれば、HTTPにあるのは、ヘッダーとGET POST DELETEなどのメソッドのみ、
之ではバージョンがわからないので当たり前です。

しかし、どうやらSSL化してると2.0になるらしいです、なぜ。
以前は1.0から2.0に変更する機能がったらしいですが、廃止された模様、なんでだよ。

なので、「個人情報を扱わない」というサイトでのSSL化の理由は以下が考えられます。
1・気分的な問題
2・2.0を採用して速度を上げたい
3・自意識過剰な利用者からの要望
でしょう。

あと、HTTPS化するとGoogleからのSEO評価も上がるらしいです、
が、私はSEOが嫌いなのでどうでも良いです。
(ちなみに、私のサイト(るみ鯖ではない)はHTTPでもHTTPSでもどちらでもいけますが、どうやらどちらも行けるとSEO的には良くないらしいです、まあどうでもいい)

結局どうすればいいのか?


好きなようにすればいいと思います、
「別に速度とかどうでもいいよ」ならSSL化しなくていいし、「速度追い求めたい」ならすればいいと思います。
之は個人の自由であるため、私は特に何も言いません。

しかし之だけは言える、

・個人情報扱うなら絶対しろ


・他人のサイトに「SSL化しろ」と言うな


以上!


シェア


コメント欄の復旧は少し待ってね