スキップしてメイン コンテンツに移動

全サイトで暗号化が必要な理由


いわゆる常時SSLとは

常時SSLとは、サイト全体、つまり全てのページや画像等のデータが HTTPS で利用できる状態を指します。

今まではログインや個人情報を入力する画面のみを暗号化することが一般的でしたし、それが正しいとして実装されてきたサイトが多々あります(自分もそうしてきました)。

しかしこれからはウェブサイト全体を暗号化することが好ましいとされます。

この手法は HTTPS everywhere とも呼ばれます。

では、なぜ常時SSLが必要なのでしょうか?

あまり重要ではないこと

常時SSLについて検索すると実はあまり重要ではないことばかりが解説されています。
たとえばGoogleのランキングで少し有利である、といったもの。 SEO のためだけに SSL化するかのような説明です。しかしそれは本来の目的ではありません。 SSL化の判断基準はそこに置かない方が良いでしょう。

暗号化しなくても困らない?

暗号化は盗聴防止のためだけにあると思われがちです。たとえば趣味のブログは個人情報を扱うわけでもなくログインされるわけでもありません。暗号化しなくても問題ないように感じられます。しかしそうではありません。

改ざん防止としてのSSL

さて暗号化していない通信は、経路上でデータを書き換えられてしまう可能性があります。暗号化していないとコンテンツが正しく閲覧者に届く保証がないのです。そういったことが困るのであればすべてのページを暗号化すべきです。
暗号化には改竄防止という目的もあるのです。

改ざんで起こり得る問題

サイトの書き換えをされてしまうと様々な問題が発生します。よくある改竄の被害としては、悪意あるプログラムを挿入されてしまったり、悪意あるサイトに転送されてしまうことが挙げられます。

サイトの改ざんは企業のホームページでは信用に関わりますので、全ページのSSL化は必須と言えます。

また AdSense やアフィリエイトでウェブ収入を得ているサイトの場合は、広告内の運営者識別IDを改ざんされれば収益の一部をハッカーに奪われることになってしまいます。

これらの被害はサイトそのものではなく特定の経路だけで発生するため、自身で気づくことが非常に困難でもあります。

今すぐ対応すべきか

多くのサイトでは特に理由が無いのであれば今すぐ対応しておいて問題はないと思われます。古いブラウザで閲覧不能になるかもしれませんが、それは HTTP でも利用できるようにしておけば回避できます。

しかしながら、現状、経路上での改ざんによる被害が日常的に報告されているわけでもありません。今後増加するかもしれませんが、下記のようなケースもありますので決して慌てて対応する必要もないでしょう。

リンク先も SSL であることを求められる

厳密な安全性の確保という点では SSL で表示されたページは埋め込まれた画像やリンク先も SSL 対応していることが求められます。

過渡期

ただし現状、多くのサイトが常時SSL対応などしていませんので、外部リンクに対しては SSL 対応したくてもできないという歯がゆい状況にあります。

しかしながら時代の流れは常時SSLへまっしぐらのようです。セキュリティ系のサイトを見ればどこも常時SSL特集ですし、Google Adsenes なども既に対応済みとなっています。
Adsense は SSL ページに埋め込めばそこに表示される広告も SSL 対応されたものしか表示されなくなるという動作になっています(これにはデメリットもあり、対応した広告が少ないため収益が減る可能性があります)。

当方でも対応を進めております

当方も少々考えましたが、今のうちからブログやサイト全体のSSL化作業を進めておくことにしました。技術系の記事を書いていながら全く対応しないわけにもいかないかと思いまして(笑)。
なおその過程はいくつかの記事にもしています(参考:Globe SSL による対応)。

 

記事一覧

もっと見る