プログラミングでhttpとhttpsの違い

Question

「s」が「安全」を表していることを知りました。ユーザーは、httpだけを使用するWebサイトに重要な情報を入力しないでください。しかし、私は実際にこれらの2つのプロトコルは、例えば、私のプログラミングを、影響を与える何を知りたい：

• いくつかのウェブサイトが得た「https」のといくつかは、彼らがいることを、上のこの機能オフにしない（または多分ないどのように行う方法知りません）。どこかに登録しなければならないのですか？

• httpでの通信は暗号化されていないと思っていましたが、一部の暗号化はhttpsで行われる可能性がありますが、これは正しいですか？

• 暗号化（もしあれば）プロセスがブラウザによって行われるため、私のサーバー側のコードは「http」または「https」とは関係ありません。

• 強制的にhttpsのみを使用する方法はありますか？

Answer 1

HTTPSを有効にするには、WebサーバーにSSL証明書をインストールする必要があります。これにより、クライアントブラウザとサーバーの間で暗号化された接続が確立され、すべてのHTTPトラフィックが暗号化されます。この証明書は、信頼できる機関によって発行されます。テスト目的で証明書を生成することもできますが、クライアントブラウザがWebサイトに移動すると、この証明書が信頼できる機関によって発行されなかったという警告が表示されます。

WebサーバーがすべてのHTTP要求を対応するHTTPSエンドポイントに自動的にリダイレクトするように設定することで、HTTPSを強制的に使用することができます。

SSL/TLSを検索できます。 HTTPSプロトコルを使用して

Answer 2

• ウェブサイトは、公開鍵が含まれている信頼できる第三者（または「認証機関」）によって発行された証明書を、使用します（参照：Public Key Infrastructureを）。公開鍵は秘密鍵とペアになっており、秘密鍵で暗号化された情報は公開鍵でのみ解読できます。これは、サーバーが秘密鍵の所有者であることを確認するために使用されます（証明機関が認定したエンティティです）。 HTTPSプロトコルを使用するには、証明書を生成または購入する必要があります。さまざまな理由から証明書を生成するのではなく、購入する方が一般的です。

• HTTPS通信が暗号化されています。証明書に関連付けられたキーは暗号化を行わず、ブラウザとサーバーはDiffie-Hellman Exchangeなどのスキームを使用して通信の暗号化に使用されるキーを作成します。これは重要なことです。なぜなら、公開鍵を持つ誰もが秘密鍵で暗号化されたものを復号化できるからです。

• ブラウザから送信された情報は、ブラウザで暗号化され、サーバーによって復号化されます。あなたのWebサーバーソフトウェアは情報を解読します。受信した情報は標準のHTTPトラフィックと変わりません。

• はい、HTTPSを強制できます。サーバーソフトウェア（Apacheの場合はRewriteRule、HTTPSの場合はRewriteCond）を使用するか、特定のヘッダーを送信するというHSTSを使用してサーバーソフトウェアを使用できます。 HSTSをサポートしているブラウザでHSTSヘッダーを送信すると、ブラウザは自動的にHTTPからHTTPSにリダイレクトされます（HTTP Strict Transport Security参照）。