人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

SSLの仕組みについて良くわかるサイトを教えてください。

具体的に知りたい内容としては、
1. ベリサイン等で証明書を取りました
2. そのサーバー上でPHPのメール関数を使ったメール送信プログラムを作成しました。
3. https経由で、そのプログラムを走らせました。
4. 送信されたメールは暗号化(保護)されているのでしょうか?
5. されているとすれば、どこで復元されるのでしょうか?

POPサーバーに格納された時点で復元(非暗号化)されてしまうのでしょうか?
それとも、メールクライアントに届くまで暗号化されたまま、なのでしょうか?


結局、メールクライアントに届くまで暗号化されていないのであれば、
SSLをかけてあっても・・・なぁ、と思いまして・・・。

よろしくお願い致します。

●質問者: uchisuke
●カテゴリ:ウェブ制作
✍キーワード:HTTPS PHP POP SSL クライアント
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● ootatmt
●30ポイント

http://dictionary.rbbtoday.com/Details/term2683.html

SMTP over SSL(エスエムティーピー・オーバー・エスエスエル):RBB TODAY (ブロードバンド辞典)

PHPからのメール送信プロトコルはSMTPであって、SSLを使用しませんので、暗号化されません。


SSLは、Webブラウザとユーザ間のHTTP通信の暗号化に使われるもので、メール送信とは無関係です。


メールサーバとユーザ間の通信を暗号化する技術として、SMTP over SSL などがありますが、この場合はサーバ間の通信なので無関係です。

◎質問者からの返答

なるほど・・・。

というとWebサイトに設置されている

「メールフォーム」というのはメール送信を行う訳ではなく

サーバー内にデータを蓄積する形が一般的という事になるのでしょうか?

でないと、SSLシールとか意味ないですもんね。


2 ● くまっぷす
●40ポイント

http://www-06.ibm.com/jp/software/websphere/developer/tam/securi...

IBM WSDD | Webセキュリティー入門 - 第2回 - Japan

結論から言うと、SSLによるメール暗号化はクライアント(MUA)とメールサーバの間でだけ行われ(さらに通信経路上でだけ暗号化されるので、向こうのメールサーバのサーバアプリに渡るときには復号される)、サーバ間は平文で流れます。APOPなどと同じでサーバのパスワード(これも普通は平文で流れてしまう)を盗聴されて勝手にメールを見られないため・SPAM配信などの不正なサーバ利用を防ぐためという意味合いが強いようです。

また、ご質問の例ではhttpsで守られているのはユーザがフォームに書き込んだ内容をWebサーバに送る部分だけで、Webサーバ上で走るPHPスクリプト自体はSSLレイヤを抜けてきて復号された裸の内容を扱うことになります。PHPスクリプトからのメール送信の部分でSMTP over SSLを使っていないとすると、その部分も平文ということになります。

2番目のURLはPGPを使って、注文メールをお店に暗号化して送りますというサービスについての説明です。

内容を秘密にする目的であれば、PHPスクリプトのところでPGPなどで内容を暗号化することになると思います。

3番目、4番目のURLの掲示板のスレッドで、Perlでですが似たようなことをやろうとしている人の質問とそれについての意見が出ています。

http://www.misezukuri.jp/pgp.htm

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?forum=14&t...

http://www.gac.jp/article/index.php?stats=question&id=16372&...

GAC なぜなにGAC->新着

◎質問者からの返答

ご丁寧にありがとうございます。

やはり、そういう事ですね(^-^;。

お問い合わせ等々はDBに貯めても結局担当者へメールを流す必要があったりします。

個人情報はカットしてメールしてるんでしょうか・・・。

もしご存知の方がいらっしゃったら

コメント頂けるとありがたいです。


3 ● yoshihi6
●20ポイント

http://www.createfuture.co.jp/system/package/contact.html

システム開発・製品>パッケージ一覧>資料請求フォーム:Webシステム制作会社クリエイトフューチャー

個人情報をカットしたメールになると思います。


その場合は、たとえば


お問い合わせはDBに貯める。

お問い合わせがあったら、担当者へメールをとばす。

※内容は ”いまお問い合わせがありました!” という内容、問い合わせ日時、内容を確認できるURL(管理画面) のみ

担当者は、管理画面のURLにアクセスし、お問い合わせの内容を確認する

※管理画面には、SSLはもちろん認証(Basic認証、IP制限など)がかかっている


といった流れになります。


担当者へ送るメールの内容にどうしても個人情報を載せたい場合は、2番の方のご指摘のようにPGPなどをつかう必要があると思います。

◎質問者からの返答

ありがとうございました。

非常に参考になりました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ