常時SSL化の本質 – 間違ったSSL化を行なわないために

The following two tabs change content below.
夜桜 なのです。 バーチャル女の子をしてるなの。 陸上自衛隊卒のレトルトカレー評論家 高校生の時にフルアセンブラでウィルスを作って、他人に渡したものの、児童相談所に通報されなかったという経歴があるの。 返せなくなった211億円のバーチャル借金があるの。ぐすぐす;; 取締役ブログ事業部部長、音楽事業部部長、IT業務部部長 etc...

SSL

はじめに

これまでSSLといえば、お問い合わせフォームやECサイト等の個人情報やカード情報を入力するページだけに使われるのが一般的でしたので、
『銀行やECサイトではないのにそこまでする必要がある?』と思われ、SSLはあくまで付加的なものと捉えるサイトオーナーが多かったのも事実です。

しかし、今回の「Google Chrome 68」に関する公式リリースで、警告対象が格段に拡がったいま、SSL(厳密にはSSLは脆弱性があるので、TLS1.3)は導入必須といえます。

特に企業のコーポレートサイトやサービスサイトでは「安全でないサイト」と明示されることで、企業やブランドに対するイメージの低下に繋がりかねません。
もはやSSLは「企業サイトに導入した方がいいもの」から「導入しないとマイナスになるもの」へと変わりました。

常時SSL化(HTTPS化)すると何がいいの?

常時SSL化をすれば、ウェブサイトへのアクセス者、ウェブサイトのオーナー共に、以下のような一般的なメリットが考えられます。

サイトのセキュリティー強化

より多くの個人情報の保護(cookie、閲覧履歴)、改ざんやなりすまし防止、マルウェア防止、盗聴防止、Free Wi-Fi からの安全性確保等があります。

HTTP/2対応ブラウザで表示が速くなるかもしれない

主要ブラウザの最新バージョンでは既にHTTP/2に対応していますが、サーバーも対応している必要があります。

サイトの信頼性をアピールできる

鍵マークや保護された通信マークが表示される。有料で取得された証明書においては、ブラウザによっては企業がちゃんと認証されていることが表示され、EV SSL証明書(とても高額で、かつかなり取得が面倒です)となると、アドレスバー全体が緑色になり、より信頼性をアピールすることができます。

SEOにほんの少し有利になる

googleが2014年8月に発表した検索結果の検索順位の決定要因の一つですが、現状では影響を受ける範囲は全体の1%未満です。将来的には非SSLのサイトがかなりランクダウンされる可能性があるかもしれません。

SSLの有無でウェブサイトの動線を考える必要がなくなる

フォルダで区分したり、リンクの記述を変更したり、Cookieの扱いを気を付ける必要がなくなります。

リンク元からリファラーが確実にもらえる

google analycs等のアクセス解析の精度向上に役立ちます。httpsからhttpにリンクされた場合、リファラーが受け渡せられません。

常時SSL化をするとデメリットも生じます

導入や維持に費用やコストがかかる

証明書取得費用、設定代行費用、転送設定、URLの設定や、証明書の更新の費用とコストがかかります。実は無料証明書でかつ自動更新できるものもあるのですが、特に企業向けサーバーは無料証明書が対応していないこともあります。

サーバーの負荷増大もあります。

基本的に今のサーバースペックはかなりあがったものの、恒常的に、もしくは、勃発的に大量のアクセスを受けるサーバーにとっては、対策も必要です。特に、共用サーバーの場合は、自サイトからみて、他サイトが何があるのかわかりませんので、予測不可能な所です。

ソーシャル系のカウントがリセットされる

特に、Facebookの「いいね」は打撃が大きいでしょう

使っているサーバーが常時SSLに対応しにくいことがあります。

特定のフォルダ下に置かないとHTTPSにならない、.htaccessが使えない等があります。

SSLに対応していないファイルを読み込むと警告が出るブラウザがある。

少なくともFirefoxでチェックするようにすれば大丈夫ですが、警告が出ていると鍵マークの表示より怪しいイメージがあります。

自サイトよりのリンクに対してリファラーを渡すことができなくなることがある

メディアサイト等では、自サイトから他サイトに誘導することがサイトの価値になっていることがあるようです。しかし、HTTPS化するとリファラーを渡せずに、誘導を計測できなくなってしまいます。

常時SSL化をした所で、実はなりすまし防止にはならない

実はここが重要な所です。ほぼ無制限にSSL証明書を無料で自動的に発行できる Let’s Encrypt の存在のおかげで、フィッシング詐欺を完全には対処できない点です。
しかし、ここはご安心下さい。高価格の企業実在認証を行なえば、鍵マークをクリック/タップすることで、英語名で組織の法的実在性を確認することができます。
更に高価格で認証に面倒なEV認証を用いれば、組織の法的実在性だけではなく、承認者・署名者の確認、完全なるフィッシング詐欺の対策をすることができます。

企業実在性認証、EV認証は、シマンテックSSLサーバー証明書から取得することができます。


常時SSL化をした所で、安全ではないものもあります。

常時SSL化をしても、実は安全ではないものがあります。

それは、メールです。

お問い合わせメール、注文確認メール等、色々あるかと思いますが

最近のレンタルサーバーでは、メールのPOP3やSMTP、IMAP等、サーバーがSSL暗号化しているものがあります。

確かにメールサーバーに到着したメールは暗号化して送受信されますが、
Webサーバーからメールサーバーに到着するまでのメールは暗号化されていません。
また、メールサーバーからメールサーバーに到着するまでのメールも暗号化されていません。

確かにメールを暗号化する技術はあり、S/MIMEとPGPメール暗号化がありますが、面倒である、一般ユーザーでも場合によっては金がかかる等あり、あまり普及していません。

ただ、公衆無線LANにおいては、メールサーバーと端末のやり取りの為、暗号化はされますが、インターネット全体で暗号化をされていないということになります。

ただ、現状においては、基幹ルーターをクラッキングしたり、DNSの設定をクラッキングされなければ、非暗号化メールを盗聴することはほとんどありませんので、常に安全な問い合わせをされるように促しつつも、メールの内容も相手の個人情報をあまりにも聞きすぎないことが重要です。

メール以外にも忘れてはいけないものが

Webページ自体の転送に使われているFTP です。かなり以前から暗号化されたSFTP (SSH File Transfer Protocol)、FTPS(File Transfer Protocol over SSL/TLS)の技術がありますが、FTPを利用していると、ごくまれにダウンロードしたファイルに個人情報が含まれたり、パスワードを盗まれて単純にWebの改ざんに利用されることがあります。

しかし、もっと重要なのは、何らかのWebを更新したり、Webからデータを送受信するためのクライアント自身(パソコン、スマホ等)です。これらのクライアントがきちんとマルウェア対策されていなければ、あなたの個人情報だけではなく、お客様の個人情報を盗まれてしまう可能性があります。

そもそも、CMS(Wordpress等)の爆発的な普及により、Web上からホームページを書き換えることはとても容易なことです。Webサイトの不正書き換え監視サービス等もありますが、監視サービスの以外な盲点に、お問い合わせメールをCMSに対して細工することにより、本来指定されたメールアドレス以外に送信させて傍受する方法も考えられます。

本来なら、CMSスクリプト自体の定期精査やデータベースの定期精査を行ないたい所ですが、これらはかなり手間がかかるので、少なくとも、CMSソフトウェアのログインURLは変更し、定期的にCMSソフトウェアは更新するようにして、安全を守る必要があります。

NEET株式会社におけるHTTPS化の取り組み

実はNEET株式会社は日本人の3人に1人が知っているといわれる超有名会社です。(若新談)

各種メディアには突然のように出演し、(先日 3月19日の、Eテレ 「2人の#」にも出演したばかりです)メディアの出演する度にサーバーダウンを覚悟する程のアクセス数を稼いでしまうこともあります。

それ故、公式には発表していない情報ですが、実はサーバー移転時の2014年7月から、いずれ「無料のSSLが出る」「常時SSLの時代が出る」ということを考慮しつつ、突然のサーバーの過負荷に対して対処してきました。

しかし、お金がそんなに芳醇にあるわけでもありません。

そのため、普通ならコンテンツサーバー+データベースサーバーに分けるものを、フロントエンドキャッシュサーバー+コンテンツ&データベースサーバーに分けたわけです。

そして、コンテンツサーバーにおいては、余計な負荷をかけないようにするために、WebサーバーのSSLモジュールすら導入せず、すべてフロントエンドキャッシュサーバーでSSL化を行なっています。

また、SSL証明書は、コマンドラインで簡単に取得でき、自動更新も放置してでもできる Let’s Encrypt が安定的に導入できるか数ヶ月の検証期間の上、正式に2017年6月4日に導入しました。

全てって言っていいほどの無料SSLに対応しているレンタルサーバーは、Let’s Encryptを使用しています。

まぁ、わざわざ企業認証するほどの会社でもないですし、有料でドメイン認証を行なった所でお金の無駄と判断したためです。

SSL最新トピックス

2018年2月8日、Googleは7月リリース予定の「Google Chrome 68」より、すべての非SSL化サイトで「保護されていません」という警告を表示させると発表しました。

HTTPS化されていないサイトにアクセスした訪問者は、「保護されていません」警告がアドレスバーに表示されるのを目にすることになります。

今回の発表でWebサイトのSSL化への流れは、今後も加速することが予想されます。

Google HTTPS化への取り組み

保護されていません

まずはこれまでのGoogleの取り組みを振り返ってみましょう。

Chrome 56 (2017年1月リリース)

長年にわたりWebの安全性向上にGoogleが取り組んできた中でも、特に注目を集めたのがChrome 56から段階的に強化されてきた、HTTPページに対する警告です。

Chrome 56以降、パスワードやクレジットカード情報などの入力フォームを設置するWebページでSSLが導入されていない場合、アドレスバーに保護されていませんという警告が表示されるようになりました。

Chrome 62(2017年10月リリース)

更に昨年10月にリリースされたChrome 62からはその警告対象が拡大され、すべての入力フォーム(サイト内検索や問い合わせなど)が対象になりました。

加えて、シークレットモードで非SSL化サイトにアクセスする場合、入力フォームの有無に関わらず保護されていませんが表示されるようになりました。

Chrome 68(2018年7月リリース予定)

そしてついにChrome 68よりすべてのSSL未導入サイト警告表示の対象となることが発表されました。
非SSL化サイトなら例外なく保護されていませんという警告テキストが表示されます。

今回は「保護されていません」という表示ですが、HTTPサイトを排除しようとしているGoogleの取り組みから考えると、今後は HTTPS でのアクセスがスタンダードになるはずです。



スポンサーリンク