質問
サイトA: HTTPでの通信
サイトB: 自己署名証明書のHTTPSでの通信
のサイトAとサイトBのどちらがセキュアといえるか?
という質問です。
質問背景
個人的にはサイトBの「HTTPSだけど証明書が自己署名証明書」方がセキュアなのではないかと考えています。
なぜなら、自己署名証明書の問題はHTTP通信でも抱えている問題だと思うからです。
ですが、ChromeなどブラウザではHTTPはほとんど警告なしに表示するのに、証明書が信頼できないものは過剰な警告を出すので、
Chromeが「HTTPのほうがマシ(よりセキュア)」と言っているようなきがするのです。
こういう背景で質問して、スッキリしたいと思いました。
私の自己署名証明書の問題点の理解は、以下のサイトからです。
Qiita記事: オレオレ証明書を使いたがる人を例を用いて説得する
から引用させていただくと、
- 暗号化。サーバ側とクライアント側で暗号化/復号化を行うことにより、通信経路上での盗聴・改竄を防ぎます。
- 通信相手が正しいことの保障。DNS cache poisoningや、MITM(Man in the middle)によるSSL終端など、攻撃者によって通信相手が変更された場合に警告を表示することで、攻撃者による盗聴・改竄を防ぎます。
- 改竄の検出。サーバ側で証明書を使って署名することで、通信経路上で改竄された場合にもクライアント側で受信した際に改竄を検出することができます。
1は自己署名証明書でも可能
2, 3は自己署名証明書では問題になる
回答5件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。