Q&A
ありがとうございます、SSLの警告、ChromeやFirefoxでかなり怖い文章で煽ってくるので、判断がつきずらかったのですが、いわゆる俺俺証明をしており暗号化はされているということですね。ありがとうございます。
警告のパターンについても詳細ありがとうございます。
あいまいなままの理解だったものが明快になりました。
ブラウザの https:// から始まる SSL通信のそもそも論の質問です。
windows10 XAMPP環境で開発をしています。
APIを取得する際、第三者に知られたくないKEYを以下の様なURLをブラウザに入力し、開発環境よりアクセスしAPIを取得しようとしています。
https://localhost/hogehoge.php
この場合、ブラウザのURL入力欄の最初に入れた https:// というのは文字通り https でSSL通信がされているものなのでしょうか?
XAMPPの設定としては Apacheのhttp.conf でhttpsへのリダイレクト設定を行い、httpにリクエストをしてもhttpsへ移動するようにしてします。が本番サーバー等でドメインに基づいたにSSL設定を Let's Encrypt 等で入れてはいません。(そもそも無理?)
この場合、いわゆる俺俺認証と言われるもので、認証局は通さないが、外部からは暗号化された SSL通信をしているという解釈でいいのでしょうか?
ご回答頂ければ幸いです。
回答2件
0
localhostへのアクセスの場合、ブラウザやWebサーバから見れば単なるTCP/IP通信ですが、実際にはネットワークに流れないので、ローカルマシンに何か仕掛けられていない限り、外部から通信内容を取られることはそもそもありません。
逆に、ローカルサーバに仕掛けができる環境なら、ブラウザとサーバサイドでHTTPSが終端しているので、そこに攻撃を仕掛けられます。
ということで、ローカルサーバにHTTPSを入れても、セキュリティ的な意味はほぼありません。
投稿2017/12/11 00:30
総合スコア146581
0
ベストアンサー
XAMPPというものに実績がないので、通常考えられるPKIに基づいての回答になります。
接続先にサーバ証明書が存在し、これを使用しての通信を行う設定がされているのであれば、暗号化通信は可能となります。
従って、以下の認識でも問題はありません。
この場合、いわゆる俺俺認証と言われるもので、認証局は通さないが、外部からは暗号化された SSL通信をしているという解釈でいいのでしょうか?
ただし、PKIの仕様上、以下を満たしていない場合、SSL関連の警告が表示されます。
・証明書と接続先の名称が違う場合
・証明書を発行した証明局が「信頼された証明局」になっていない
・証明局への問い合わせができない(ネットワーク的な意味で)
投稿2017/12/11 00:39
総合スコア4315
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/12/11 00:41