- 締切済み
Apache-SSLとmod_sslの違いは?
Apache2+TomcatでWEBアプリケーションを作成しています。 サーバ証明書を追加し、SSL通信をさせようと考えているのですが、 Apache-SSLとmod_sslの2つの選択肢がある事が分かりました。 ネットで色々調べてみると、どちらでも大差無い、Apache-SSLが本家だ、mod_sslの方が良い等、色々な情報が出てきてよく分からなくなってしまいました。 詳しく違いが分かるサイト等がありましたら、教えて頂けますでしょうか? 宜しくお願い致します。
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- OrangeCup150
- ベストアンサー率62% (109/174)
http://www.apache-ssl.org/ http://japache.infoscience.co.jp/Apache-SSL/Apache-SSL.html <引用> Apache-SSL は mod_ssl じゃありません。 Apache-SSL と mod_ssl の関係に誤解があるようです。 事実関係を明確にすれば: mod_ssl は Apache-SSL の置き換えではありません- つまり選択肢です。Apache と Netscape/Microsoft servers、Linux と FreeBSD のように選択肢があるのと同じ事です。どちらを使うかは個人の自由です。mod_ssl は 'split' として知られています - 言い換えれば、オリジナルは Apache-SSL ですが、広範囲にわたって再開発されたので、コードはオリジナルと殆ど関係ありません。 Apache-SSL は安っぽい機能よりもむしろ、信頼性と安全性、パフォーマンスの維持に重点を置いた開発をしてきました。 誤解が解けたことを祈ります。(Adam Laurie). </引用> まあ、一般的に言えることは、 mod_ssl を使用する場合、ユーザ側が信頼のできる ssl コンポーネントを選択しセキュリティ的に間違いのない設定をする必要があるのに対して、 Apache-SSL であれば Apache の開発チームが提供する ssl を信頼すればいいというところでしょうか。(あ、私は使ったことないです) (リリースを見る限り、Current release: apache_1.3.41+ssl_1.60 Release date: January 15, 2009 とあるので、まあ、あまり主流ではない様子ですね。ドキュメント自体も2002年から2004年のようですし) しかし、これらは結局どちらもソフトウェアによるSSL処理に変わりはないでしょう。どっちもすぐに暗号処理負荷でまともなレスポンスが得られなくなると考えられます。そうなれば処理負荷の低い(安全性の低い)暗号化方法を導入しだしてセキュリティが破綻するということがまあ起こるでしょうね。 SSL使っているにもかかわらず、暗号強度は不十分なんてサイトがあるわけです。 参考 SSLアクセラレーターの必要性 http://fenics.fujitsu.com/products/ipcom/catalog/data/ssl/ ひと昔、2005年頃なら安い PCI型やNIC型の SSL アクセラレータが手に入りましたが、今では箱形のアクセラレータしか入手できそうにない様子ですね。 参考 SSLアクセラレータはそれ用のPCIカードをWebサーバに仕込むほうが安価かも http://neta.ywcafe.net/000636.html 理由は単純で、 WEB hosting の価格が異常に安くなったためです。(最近流行りのクラウドというやつでしょうか) 国内 http://www.wadax.ne.jp/service/shared/ 海外 http://www.godaddy.com/ 5年契約と考えても30万で良い感じですし。まあ、SSL 証明書は企業規模に応じて、高いのを買わないといけないですが、それでも低価格な SSL 証明書がでてきたのはうれしいかな、こまったかなですね。