httpとhttpsの違い

1. HTTPS over HTTPを使用する利点は何ですか？

HTTPSは、HTTPペイロードを暗号化するTLS/SSLを介してHTTPプロトコルをトンネリングすることを意味します。そのため、HTTPリクエストとレスポンスがネットワーク経由で安全に送信されるという利点があります。インターネットサービスプロバイダーは、あなたが何をしているかを知りません。

2. HTTPSの使用方法

エンドポイント、通常はアプリケーションサーバーの前にあるWebサーバーで有効にします。ほとんどのWebサーバー（IIS、Apacheなど）は、構成によってこれをサポートしています。機密性の要件によっては、これで十分ではない場合があります。

3. ログインのみにHTTPSを使用してから、HTTPをオンワードで使用できますか？

技術的にはこれは可能ですが、いくつかのセキュリティリスクが生じます。例：安全なログイン後、ユーザーを識別するセッションIDを送信します。これらのセッションIDを安全に（SSLなしで）送信すると、セッションハイジャックがリスクになります（「中間者」）

4. WebサイトHTTPSを作成するには、どの設定を行う必要がありますか？

＃2を参照してください。パブリックインターネットシナリオでは、エンドユーザークライアントが証明書を信頼する必要があるかどうかを確認できるように、特定の認証局（CA）から証明書を要求（購入）する必要があります。

5. HTTPSに脅威はありますか？

プロトコル自体には、中間者攻撃のわずかなリスクがあります。例えば。クライアントとサーバー間のプロキシは、サーバー自体のふりをする可能性があります（これには、DNSなどのネットワークインフラストラクチャへの成功した攻撃が必要です）。プロトコル自体に関連しない他のいくつかの「より不明瞭な」リスクがあります、例えば：

• 古い暗号化キーの長さの使用（例：256ビット）
• 秘密鍵の紛失または不適切な鍵管理手順（例：暗号化されていないメールで送信）
• 認証局の障害（2011年のプレスリリースをご覧ください）

6. HTTPSに必要な処理時間はHTTPよりも長いですか？

はい、キーネゴシエーション（ハンドシェイク）には多くのCPU容量が必要です。