HTTPSと認証 — 錠前マークの裏側と、3つの本人確認
ブラウザのアドレス欄の錠前マーク——あれは「このサイトとの通信はHTTPS」の印です。中身はHTTP+TLS。前の2ユニットで揃えた道具(証明書・ハイブリッド暗号)が、ここで一斉に動きます。
そしてサイトの側があなたを確かめるのが認証——パスワードだけに頼らない「3つの本人確認」の組み合わせ方が、もう1つの的です。
HTTPSはどんな手順で通信を守り、多要素認証は何を組み合わせているのでしょうか。
HTTPS=証明書を確認してから、共通鍵で高速に暗号化します
TLSの動作は3歩です。①クライアント(ブラウザ)がサーバー証明書を検証する——認証局(CA)の署名を確かめ、「本物のサイトか」をまず確認。②共通鍵(セッション鍵)を公開鍵暗号の仕組みで安全に共有する。③以後の通信は共通鍵で高速に暗号化——前ユニットのハイブリッド暗号そのものです。
今の標準はTLS 1.2/1.3で、SSLとTLS 1.0/1.1は脆弱性のため廃止済みです(名前の慣習で「SSL」と呼ばれ続けていますが、実体はTLS)。
認証の3要素と、ポート番号の定番も1セットで持ち帰ります
認証の材料は3系統——知識(パスワード・暗証番号)・所持(スマートカード・スマホのワンタイムコード)・生体(指紋・顔)。多要素認証(MFA)は異なる系統を2つ以上組み合わせることで、同じ系統を2つ(パスワード2個)ではMFAになりません。SSO(シングルサインオン)は1回の認証で複数サービスを使える仕組みで、実現の標準がSAML・OAuth・OpenID Connect(フェデレーション認証)です。
あわせてウェルノウンポート番号の定番を固定します——HTTP=80・HTTPS=443・DNS=53・SMTP=25・FTP=21(制御用。データ転送は20)。「HTTPSは443」はこの科目の頻出小問です。
「同じ要素2つでMFA」と、SSL/TLSのバージョン現役誤認が的です
定番の誤り肢は「多要素認証は、パスワードと秘密の質問のように2つの認証を組み合わせればよい」——両方とも知識で系統が同じなのでMFAではありません。異なる系統が要件です。
「SSL 3.0やTLS 1.0は現在も標準的に使われている」も誤り——脆弱性のため廃止済みで、現役はTLS 1.2/1.3です。ポート番号は80と443の入れ替え(「HTTPは443番」)が的——「保護されたほうが443」で固定してください。
顧問先のサイトがブラウザに「保護されていない通信」と表示される——原因はHTTPS未対応(サーバー証明書の未導入)で、今どきは無償の証明書でも解消できます。もう1つ、費用対効果が最も高い助言がMFAの有効化——パスワード漏えいだけでは突破されなくなるため、ネットバンキングやクラウド会計にまず設定する。「スマホの確認コード=所持の要素を足す」と説明すれば一発で通じます。
冒頭の問いに答えます。HTTPSはHTTP+TLS——サーバー証明書の検証→セッション鍵の安全な共有→共通鍵での高速暗号化の3歩で通信を守ります(現役はTLS 1.2/1.3、SSL・TLS 1.0/1.1は廃止)。認証は知識・所持・生体の異なる系統を2つ以上組み合わせてMFA、1回の認証で複数サービスがSSO(SAML・OAuth・OpenID Connect)。ポートはHTTP=80・HTTPS=443。仕上げは、守る相手——攻撃の手口と盾の対応表へ。