QA@IT
«質問へ戻る

27
本文
  **『SHTTP』** というものを考えてみたのですが、
 これは十分に **"Secure"**なものになっているでしょうか?
 
-GitHubに概要をイメージ付きでアップロードしています。
+GitHubにソースコードと概要イメージを掲載しています。
 
 # GitHub [https://github.com/sklab/SHTTP/](https://github.com/sklab/SHTTP/)  
   

SSLサーバ証明書を使わない暗号化通信について

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして
『SHTTP』 というものを考えてみたのですが、
これは十分に "Secure"なものになっているでしょうか?

GitHubにソースコードと概要イメージを掲載しています。

GitHub https://github.com/sklab/SHTTP/

デモサイトhttp://shttp-eu.herokuapp.com/sample/

 

概要

「HTTPS」と対峙した「S-HTTP」プロトコルに似た考えのものですが、
HTTP通信の最初のアクセスの際に別のHTTPSサイトに共通鍵の受け渡しを仲介してもらい、
受け渡し後はアプリケーション層で共通鍵を使ってやり取りするイメージです。

なぜこんなものを?と思われるかもしれないので簡単に作成した背景を説明します。

暗号化した通信を実現するためにはHTTPSを用いれば簡単ですが、
正式なSSLサーバ証明書を取得するための費用が結構な負担になります。

自己署名の証明書を用意してHTTPS通信を行う方法もありますが、
ブラウザ上で警告表示が出ますし、独自ドメインを用いてレンタルサーバーで
運用している場合には自己署名の証明書が使えないこともあります。

SHTTP は個人事業や零細企業、スタートアップビジネスのために
PHPとJavaScriptを使ってAESを使った共通鍵暗号方式の通信を
手軽に行うために作成しました。

共通鍵の受け渡しを仲介するサーバは用意しているため
Sampleのファイルを見てshttp.phpとshttp.jsファイルを組み込むだけで
暗号化した通信を行えるようにしているつもりですが、
この中に脆弱な部分がないか、皆様からのご意見を伺いたいと思い質問させていただきました。

仕組みとして安全かどうかだけに関わらず、
その他の部分で良くない部分があればご教示いただきたいと思っています。

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして
 **『SHTTP』** というものを考えてみたのですが、
これは十分に **"Secure"**なものになっているでしょうか?

GitHubにソースコードと概要イメージを掲載しています。

# GitHub [https://github.com/sklab/SHTTP/](https://github.com/sklab/SHTTP/)  
  
## デモサイト[http://shttp-eu.herokuapp.com/sample/](http://shttp-eu.herokuapp.com/sample/)  
  
 
## 概要
「HTTPS」と対峙した「S-HTTP」プロトコルに似た考えのものですが、
HTTP通信の最初のアクセスの際に別のHTTPSサイトに共通鍵の受け渡しを仲介してもらい、
受け渡し後はアプリケーション層で共通鍵を使ってやり取りするイメージです。

なぜこんなものを?と思われるかもしれないので簡単に作成した背景を説明します。

暗号化した通信を実現するためにはHTTPSを用いれば簡単ですが、
正式なSSLサーバ証明書を取得するための費用が結構な負担になります。

自己署名の証明書を用意してHTTPS通信を行う方法もありますが、
ブラウザ上で警告表示が出ますし、独自ドメインを用いてレンタルサーバーで
運用している場合には自己署名の証明書が使えないこともあります。

**SHTTP** は個人事業や零細企業、スタートアップビジネスのために
PHPとJavaScriptを使ってAESを使った共通鍵暗号方式の通信を
手軽に行うために作成しました。

共通鍵の受け渡しを仲介するサーバは用意しているため
Sampleのファイルを見てshttp.phpとshttp.jsファイルを組み込むだけで
暗号化した通信を行えるようにしているつもりですが、
この中に脆弱な部分がないか、皆様からのご意見を伺いたいと思い質問させていただきました。

仕組みとして安全かどうかだけに関わらず、
その他の部分で良くない部分があればご教示いただきたいと思っています。

質問を投稿

SSLサーバ証明書を使わない暗号化通信について

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして
『SHTTP』 というものを考えてみたのですが、
これは十分に "Secure"なものになっているでしょうか?

GitHubに概要をイメージ付きでアップロードしています。

GitHub https://github.com/sklab/SHTTP/

デモサイトhttp://shttp-eu.herokuapp.com/sample/

 

概要

「HTTPS」と対峙した「S-HTTP」プロトコルに似た考えのものですが、
HTTP通信の最初のアクセスの際に別のHTTPSサイトに共通鍵の受け渡しを仲介してもらい、
受け渡し後はアプリケーション層で共通鍵を使ってやり取りするイメージです。

なぜこんなものを?と思われるかもしれないので簡単に作成した背景を説明します。

暗号化した通信を実現するためにはHTTPSを用いれば簡単ですが、
正式なSSLサーバ証明書を取得するための費用が結構な負担になります。

自己署名の証明書を用意してHTTPS通信を行う方法もありますが、
ブラウザ上で警告表示が出ますし、独自ドメインを用いてレンタルサーバーで
運用している場合には自己署名の証明書が使えないこともあります。

SHTTP は個人事業や零細企業、スタートアップビジネスのために
PHPとJavaScriptを使ってAESを使った共通鍵暗号方式の通信を
手軽に行うために作成しました。

共通鍵の受け渡しを仲介するサーバは用意しているため
Sampleのファイルを見てshttp.phpとshttp.jsファイルを組み込むだけで
暗号化した通信を行えるようにしているつもりですが、
この中に脆弱な部分がないか、皆様からのご意見を伺いたいと思い質問させていただきました。

仕組みとして安全かどうかだけに関わらず、
その他の部分で良くない部分があればご教示いただきたいと思っています。

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして
 **『SHTTP』** というものを考えてみたのですが、
これは十分に **"Secure"**なものになっているでしょうか?

GitHubに概要をイメージ付きでアップロードしています。

# GitHub [https://github.com/sklab/SHTTP/](https://github.com/sklab/SHTTP/)  
  
## デモサイト[http://shttp-eu.herokuapp.com/sample/](http://shttp-eu.herokuapp.com/sample/)  
  
 
## 概要
「HTTPS」と対峙した「S-HTTP」プロトコルに似た考えのものですが、
HTTP通信の最初のアクセスの際に別のHTTPSサイトに共通鍵の受け渡しを仲介してもらい、
受け渡し後はアプリケーション層で共通鍵を使ってやり取りするイメージです。

なぜこんなものを?と思われるかもしれないので簡単に作成した背景を説明します。

暗号化した通信を実現するためにはHTTPSを用いれば簡単ですが、
正式なSSLサーバ証明書を取得するための費用が結構な負担になります。

自己署名の証明書を用意してHTTPS通信を行う方法もありますが、
ブラウザ上で警告表示が出ますし、独自ドメインを用いてレンタルサーバーで
運用している場合には自己署名の証明書が使えないこともあります。

**SHTTP** は個人事業や零細企業、スタートアップビジネスのために
PHPとJavaScriptを使ってAESを使った共通鍵暗号方式の通信を
手軽に行うために作成しました。

共通鍵の受け渡しを仲介するサーバは用意しているため
Sampleのファイルを見てshttp.phpとshttp.jsファイルを組み込むだけで
暗号化した通信を行えるようにしているつもりですが、
この中に脆弱な部分がないか、皆様からのご意見を伺いたいと思い質問させていただきました。

仕組みとして安全かどうかだけに関わらず、
その他の部分で良くない部分があればご教示いただきたいと思っています。