「常時SSL」の疑問に答えよう、どうすればできるか萩原栄幸の情報セキュリティ相談室(1/3 ページ)

「常時SSL」化はもはや避けられないと思うが、まだ疑問に思う人は多いようだ。「常時SSL」に対応するための“方法”を示す。

» 2015年05月29日 08時00分 公開
[萩原栄幸ITmedia]

 前回の記事で「常時SSL」化について述べたが、読者から幾つか質問や意見をいただいた。今回はその答えから述べ、「常時SSL」化の意義についてさらに解説してみたい。

Amazonの米国サイトにHTTPSで接続するとHTTPに変わる。なぜか?

 この回答は明快である。ネット通販の企業にとって最も恐いのは、環境以外の原因で「つながらない」状態になることだ。つながらないのでは商売にならない。最近ではセキュリティが市民権を得て、ユーザーが自前で勉強し、強化策を講じるようになってきている。公衆Wi-FiからVPN接続をしたり、HTTPSで接続したりする人も急増しているという。

 こうした背景から、HTTPSでアクセスしてくる顧客がつながらないという状況は絶対にまずい。そのためHTTPSで接続してきてもHTTPとして接続させることで、ネット通販の利用を続けてもらうという狙いがあるのだろう。本体のWebサイトがHTTPS化されていれば大した問題ではないが、まだ未対応なのでこういう措置にしていると思われる。

HTTPSにすると、処理に時間がかかり、コストもかさむ。顧客のPCが非力だと、問題が発生するかもしれない。

 この回答はやや雑しい。まずSSL証明書の視点だが、SSL証明書は様々な企業が販売し、多様な価格を設定している。例えば、シマンテックのセキュアサーバID EVは年間で約17万円(定価)と高価な部類だ。一方、安いものでは個人向けのもので数千円程度である。このような価格差は様々な理由で生じるが、その1つは証明書の種類の違いであり、これはWebサイトの信頼性に直結する。

EV SSL

 簡単に解説すると、安価な証明書はそのほとんどが「ドメイン認証」であり、通常は個人利用が多い。その次が法的な実在証明を行う証明であり、一般企業の多くがこの方式を採用している。最も厳格なものは以前にも解説したが「EV SSL」だ。「物理的実在証明」と呼ばれている。安全な場合はWebブラウザのアドレスバーが緑色に変化するので、初心者が見ても分かりやすいと評判だ。

 EV SSL証明書は価格が少し高いものの、顧客の安全を考慮するなら、十分に検討に値するものだろう。定価ベースで年間に約7万〜10万円ほど高いだけだ。月1万円にも満たない価格差でより大きな安心感を得られると思えるが、あまり普及していないのは残念である。証明書の処理については、確かに厳密な確認を行うものであるほど時間がかかると想定される。だが、体感ではユーザーが全く気付かない場合がほとんどだろう。

 また、「証明書失効リスト」(CRL)をチェックすることによる負荷もある。処理方法はダウンロード方式とOCSPを利用したオンライン方式の2つがあり、当然ながら、ダウンロード方式は時間がかかる(だから安いが)。

HTTPの新たな動き

 現在のHTTPの仕様は「HTTP/1.1」だが、2015年に入ってやっと「HTTP/2」が承認された。この仕様はGoogleが提唱していた「SPDY」プロトコルを参考にしている。Googleは他社に一歩先を歩く形になった。Google全体が良いというわけではないが、良いところは日本のベンダーも真似すべきではないだろうか。

 今までの仕様があまりに古いものだった。確かHTTP/1.1は1999年に承認されたものであり、シリアル処理しかできない。HTTP/2はパラレル処理ができる。また、テキストベースではなくバイナリベースとなるので、処理が単純に高速化される。HTTPSの方が処理速度は速くなるとも言われている。昔に良く聞かれた「HTTPSは高負荷」という言葉は、そのうちに消えるだろう。

 その他にも多々改善されており、簡単に言えば「高速化+単純化+多重化+セキュリティ向上」が実現されていく。セキュリティの観点では、HTTP/2でもあってもTLSが必須にはなっていない。つまり、古いSSL 3.0なども利用できる。しかしHTTP/2の環境を活用するなら、サーバからブラウザまで一気通貫でその機能を実装しなければならない。少なくともChromeとFirefoxではTLSで暗号化されていないと、HTTP/2を利用できないことが既に決定している。Microsoftも決定したわけではないが、Internet Explorerの後継になるEdgeブラウザのβ版ではTLSが強制になっている。

 現時点で「HTTPSは処理が重く負担になる」ということはある程度認めざるを得ない状況だが、あっという間に「過去の事実」になるはずだ。そのうち「もはやあり得ないし、HTTP/2ではその差が全くないよ」と笑われる日がすぐ傍にまで来ていると筆者は思う。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ