Google 等が火付け役となり、「WEBの常時SSL化」が急速に進んでいます。
このブログのサービス提供元であるはてなブログも、近日中に常時SSL化が行われる見通しです。
このネタが他の方に言及されたことからも、少なくともはてなユーザーにとっては気になる内容なんじゃないかと思います。
そこで、「SSLってなんぞ」という話を、無責任にもえらい丸めて図解してみました。細かい相違ご容赦。
はてなブログがの常時SSL化するらしい
これまで、はてなブログユーザは「サービス提供元である、はてな」がSSL対応していなかったため、常時SSL化の波に乗ることはできませんでした。
逆に、常時SSL化を気にする必要もありませんでした。
それが、ついにというかようやくというか、常時SSL化に踏み切る!といった話が出たのが昨日のエントリーです。
SSLってなんぞ?
どっかのホームページを見ると、頭の「http://」が「https://」になってるページがありますよね。あの通信です。
「証明書」と言われるもので、ユーザ(クライアント)とはてな(サーバ)間であらかじめ「お互いを証明する情報」を持ち合い、その間で「お互いの間でしか通用しない鍵」を渡しあい、この鍵でデータを暗号化する方法です。
なんか抜けてる気がしますが、大きく外れてはいないはず。
- まず、GoogleやM$といった会社が、ChromeやIEなどのブラウザに「クライアント証明書」を提供します。これは、バージョンアップで勝手に入ります。
- サーバ側(はてな側)は、これとは別に「サーバ証明書」を作っておきます。「私ははてなの正式なサーバですよ」という証明書ですね。
- ユーザ(あなたその他WEB閲覧者)がはてなブログにアクセスすると、はてなはまず「サーバ証明書」に「公開鍵」をつけ、「秘密鍵」で施錠し、ユーザに渡します。「公開鍵」は、「秘密鍵」を使わないと開錠できません。
- ユーザ(というかブラウザ)は、貰った「サーバ証明書」と自分が持っている「クライアント証明書」を突き合わせます。そうすると、「公開鍵」が取り出せます。
- 「あなたは確かに正式なはてなサーバだ!」ということが確認できたら、ブラウザは「交通鍵」というものを作り、貰った「公開鍵」につけてサーバ(はてな)に渡します。
- 公開鍵は、サーバ(はてな)が持つ「秘密鍵」を使わないと開錠できません。つまり、この鍵が万一はてな以外の人の手に渡っても、まず悪用されないという事です。
- サーバ(はてな)は「公開鍵つき共通鍵」の公開鍵を「秘密鍵」で開錠して、めでたく「共通鍵」を入手できます。
- この結果、両者とも「共通鍵」を持つことになります。あとはデータを「共通鍵」で施錠して送信し、受信したデータを「共通鍵」で開錠します。
このやりとりを行うことで、正しいサーバ・正しいクライアント間だけで、データのやり取りが行われるようになります。
とはいえ、個人ブログでは「あなたは確かにはてな!」とか「クッキーやブログコメントが守られる」ぐらいの恩恵しかないでしょう。これがECサイト等で、クレジットカード情報をやり取りするような場合、非常に重要になってきます。
またシマンテック!!
折も折、常時SSL化の情報がシマンテックから入ってきました。
加計学園前川喜平事件の時は、見透かしたかのように、獣医学部建設の舞台である今治市の「今治タオルプレゼント」メールを送ってきたシマンテック。
今回も「常時SSLネタ書くぞー」と思ったら常時SSL化の情報を送りつけてくださりやがりましたので、たぶん個人情報ダダ漏れなんじゃないかと思います。知らんけど。
