SSLについて デメリット

SSLについて　デメリット
ＷｅｂシステムのSSLはサーバーからクライアントのパソコン間の通信でデータを暗号化復号化して通信時のデータの安全性を図るものだと理解しています。
httpsで始まるURLの場合、全てのデータが暗号化復号化されていると理解しています。
これで正しいでしょうか。
では、安全性からしたら全てSSLにしたほうがよいと思います。そうなるとhttpで始まるＵＲＬはなくなるはずです。現実には多くのサイトがhttpで始っています。httpsにするメリットは安全性と思いますが、デメリットがあるのでしょうか。あればデメリットをお教えください。

また、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書であって、証明書がなくてもSSLにすることはできるという理解でよろしいでしょうか。

No.5 ベストアンサー 回答者： tommy1977 回答日時： 2010/08/03 13:59

>httpsで始まるURLの場合、全てのデータが暗号化復号化されていると理解しています。

概ね合っています。（正確にはすべてのデータではなく、キー交換後のSSLセッション後
からなんですけど）

>安全性からしたら全てSSLにしたほうがよいと思います。

SSLは
”安全性を高めるには費用が必要”
”SSLに対応していない端末もある”
”通信量が多くなる”
等々、暗号化しなくてよいものに関してはデメリットしかないのです。
また、安全性云々も、いくら高めてても、オペレーションミスによって
いとも簡単に無駄になってしまうのです。

(例:架空のURL）
https://hoge.tsuri.yaho.co.jp
http://hoge.yahoo.co.jp

どちらかに個人情報を入力するとしたらどっちですか？
SSLだからって、無条件に信用しますか？

さて、どうでしょうか。

>、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書

には必ずしもなりません。

>証明書がなくてもSSLにすることはできる.
できます。
→ほら、安全性と相反するでしょ？

ベリサインやセコムトラストやサイバートラストなど、聞いたことがあるかとおもいます。

そのサイトが本物である証明は、登記簿等々、申請が面倒かつ、結構高額（３年で２０万程度～）なんですよ。
誰でもなんでもできるのは、本物である証明が出来ないですよね。


後、SSLに対応していない携帯電話も多々ありますし、
携帯でSSLにアクセスすると、[2048bit]暗号化の場合、１通信につき、2パケット分追加になるんですよ。パケ放題に入ってないとパケ死（笑）になりますよ・・・。

この回答へのお礼

ありがとうございます。

お礼日時：2010/08/03 14:30

No.6 回答者： tommy1977 回答日時： 2010/08/03 14:08

#5です。

すみません、読み違えていました・・・。
>証明書がなくてもSSLにすることはできる
自己証明書でも何でもいいので（笑）証明書は必要です。

この回答へのお礼

ありがとうございます。
ちゃんとした証明書でなくても出来るということですね。

お礼日時：2010/08/03 14:31

No.4 回答者： jjon-com 回答日時： 2010/08/03 13:43

>httpsで始まるURLの場合、全てのデータが暗号化復号化されている

>と理解しています。これで正しいでしょうか。

正しいです。（ちなみに暗号化の反対語は復号です。復号化じゃないです）


>httpsにするメリットは安全性と思いますが、デメリットが
>あるのでしょうか。あればデメリットをお教えください。

ANo.1, ANo.2 は，第一に挙げるべきもっとも基本的な点を指摘していません。
SSL/TLSによる暗号化処理は遅いのです。
暗号化なしの場合と比べて，CPU負荷は100倍近くにもなるんじゃないですか。
だから暗号化の必要がないのなら
SSL/TLSで暗号化しない方が効率よく多数のWebアクセスを捌けます。
SSLアクセラレータというCPUとは別の装置を解説したページを紹介しておきます。
http://fenics.fujitsu.com/products/ipcom/catalog …


>証明書がなくてもSSLにすることはできるという理解でよろしいでしょうか。

http://okwave.jp/qa/q3396499.html の私の過去の回答 ANo.3

この回答へのお礼

ありがとうございます。

CPU負荷は100倍近くということは厳しいですね。

お礼日時：2010/08/03 14:28

No.3 回答者： yidong 回答日時： 2010/08/03 13:34

全部暗号化のデメリット

サーバ視点
CPUを浪費する。

クライアント視点
企業などで導入されているGWタイプのウイルスチェックなどが効かなくなる

などでしょうか

この回答へのお礼

ありがとうございます。

ウイルスチェックの点があるのですね。

お礼日時：2010/08/03 14:27

No.2 回答者： localica 回答日時： 2010/08/03 13:00

>これで正しいでしょうか。

概ね正しい。
しかし、ざっくり言えばSSLはURIスキームの一つでしかない。

>httpsにするメリットは安全性と思いますが、デメリットがあるのでしょうか。あればデメリットをお教えください。

安全性という認識がちょっと違う。
公開されたWebサイトを暗号化して通信する意味があるとお思いでしょうか？

>、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書であって

ここもセキュリティにおいては意味が違う。
「SSLサーバ証明書」はあくまでサーバーで作成された証明書に過ぎず、サイトの安全性やセキュリティを保証するものではありません。
金庫と鍵が頑丈でも、初めから中身が本物でないかもしれません。

この回答へのお礼

ありがとうございます。

例えばＭＳのように公開されたWebサイトであっても、本物か偽物かはいつも気になります。
このようなＱＡサイトでしたらほとんど気にしませんが、ＭＳが言ってることとかＮＴＴが言ってることでしたら、そこの責任で言うでしょうからそのサイトが本物かどうかが気になります。

お礼日時：2010/08/03 14:26

No.1 回答者： mtaka2 回答日時： 2010/08/03 12:35

> また、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書であって、証明書がなくてもSSLにすることはできるという理解でよろしいでしょうか。

これは間違いです。SSLでは、サーバ側に必ず「サーバ証明書」が必要です。
その証明書に基づいて暗号化が行われるので、証明書の持ち主以外には復号できない、
ということで、通信の安全性を確保します。

で、そのサーバ証明書が、「本物のサイトです」と証明できるものであるかどうかはまた別の話。
そういう証明力のない「自己署名証明書」(いわゆるオレオレ証明書)でSSLサーバを運用することもできます。

ですが、自己署名証明書を使った場合、中間者攻撃に遭っていないことを確認できませんので、
暗号通信が成り立っている保証がまったくありません。
中間者攻撃では、盗聴者はサーバからはクライアントのふりを、クライアントにはサーバのふりをして、
サーバとクライアントの間に盗聴者が通信を仲立ちしつつ盗聴や改竄をおこないます。
このとき、クライアントから見ると「自己署名証明書を使った正しいサーバと暗号通信を行っている」のか、「自己署名証明書を使った盗聴者と暗号通信を行っている」のかを区別はできないのです。


> httpsにするメリットは安全性と思いますが、デメリットがあるのでしょうか。あればデメリットをお教えください。

SSLでサーバ運用するためには、、正しい証明書が必要になりますので、その分コストがかかるというのがデメリットの一つです。
もう一つは、httpsの暗号化通信の特性から、「ネームベースバーチャルホスト」が使えない、という欠点があります。
一つのWWWサーバで、複数のドメインを運用することができないのです。

この回答へのお礼

ありがとうございます。
自己署名証明書ではかなりいい加減になるのですね。

コストとネームベースバーチャルホストですか。
調べてみます。
ありがとうございます。

お礼日時：2010/08/03 14:21