開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

関連ジャンル

  • 会員限定
  • 2013/12/26

HTML暗号化をめぐる大激論 プロトコル進化に順応したセキュリティ対策を考える

ウェブサーバーにアクセスするためのプロトコルであるHTTPは、IETFによって現在主流のバージョン1.1からHTTP2.0への標準化対応が進められている。日々増加するストリーミング配信や高度化するウェブアプリやサービスに対応するための新しいHTTPの標準化として議論が始まったものだが、セキュリティの観点では果たしてどのような影響があるだろうか。昨今巻き起こっている、HTMLの暗号化方式をめぐる議論から探っていきたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

HTTP2.0はリソース消費の多いリクエストを高速に処理する

連載一覧
 現在のウェブページは、動画や音声などリッチコンテンツ化が進み、さまざまなユーザー体験を実現するため、多くのネットワークリソースを消費する傾向にある。

 こうした背景からHTTP2.0は、動画配信や高度化するウェブサービス、そしてHTML5に対応する新しいプロトコルとして、技術の標準化を策定する組織のIETF(インターネット技術タスクフォース)によって標準化の作業が進められている。

 これまでのデフォルト規格であったHTTP1.1では、コネクション数などがリクエストに対する応答速度に直接影響を与え、レスポンスまでに時間がかかる。多くのユーザーを抱えるISPや通信事業者にとっては、一人のユーザーのウェブアクセスが大量のポートやコネクションを消費することになり、ネットワークリソース管理の問題が生じていた。

 対してHTTP2.0では、これらの新しいタイプのリクエストを効率よくこなせるように、リクエストの多重化、データのバイナリ化、ヘッダー圧縮、フロー制御など高速化の技術が採り入れられているのだ。

HTTP2.0の暗号化方式になり得る3つのプラン

 HTTP2.0の標準化では、暗号化通信に関する仕様についても議論されている。

 HTTP2.0のベースとなっているSPDY(Googleが提唱し、ChromeやIE11でサポートされている高速化技術)は、事実上httpsによる通信(TLS)を必須としている。これは、犯罪者やハッカーによる盗聴、あるいは国家機関による監視が問題となっている昨今、より安全な通信を守るためという要求があるためだ。

 これに関して、IETFでHTTP2.0の策定を行っているWG(ワーキンググループ)の議長Mark Nottingham氏は当初「HTTP2.0ではTLS(Transport Layer Security = httpsなど)を強制すべきではない」という立場を表明。多くの人は、暗号化がhttpsに固定されることはないと思って標準化作業を進めていた。

 しかし同氏は11月13日、「Moving forward on improving HTTP's security」というタイトルのメールをHTTP2.0を議論するWGのメーリングリストに投げたことから、TLS義務化の議論が沸き起こった。同氏は(1)サーバー証明書を伴わない暗号化、(2)サーバー証明書を利用する暗号化、(3)オープンなインターネット上のHTTP2.0ではhttpsのみを利用するという3つの案を提示し、セキュリティ上および管理上の問題から(3)が望ましいのではないかという議論を提示したのだ。

 もちろん、Nottingham氏の投稿は議論を促すためのもので、議論は現在進行形であり結論は出ていない。

Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!