Webサイトの常時SSL化が加速、そのメリットとデメリット：セキュリティ強化塾（1/3 ページ）

ログイン画面や機密性の高い情報を入力させる場合に必須のSSLサーバ証明書。だが、Webサイトの全てをHTTPS化する時代となった。

[キーマンズネット]

　インターネット利用中にID／パスワードなどのログイン情報やクレジットカード番号などの機密性の高い情報を入力する際には、Webブラウザに「錠」マークがついているかどうかを確認すべし――基本的なネットリテラシーだ。

　だが、近いうちに「錠」マークがないWebサイトは、全て「危険なサイト」と認識される日がくるかもしれない。今回はWebの潮流を変えようとしている「常時SSL（AOSSL：Always on SSL」について解説する。

Yahoo!JAPANが選択した「常時SSL」とは何か？

　2016年4月、ヤフーは同社が運営する「Yahoo!JAPAN」上の全サービスを2017年3月までに常時SSLに対応すると発表した。これまでもログイン、Webメール、ウォレットサービスなどの機密性の高い部分はSSL暗号化通信で提供しているが、今後はYahoo!ニュースの記事や写真なども全てHTTPSから始まるURLで提供するということだ。

　実はこのような動きはヤフーだけではない。例えば、TwitterやFacebookといったソーシャルネットワークサービス（SNS）もログインページだけでなく全ページをHTTPS化している。最近では、Googleの検索結果ページもSSL暗号化通信に対応していることに気付いているだろうか。非商用サイトであっても同様だ。米国は政府関連サイト（.govドメイン）を全てSSL化する方針を発表し、その経過報告を逐次公表している。

図1 インターネットに占めるHTTPSトラフィックの推移（出典：HTTP Archive）

　おさらいとなるが、WebブラウザとWebサーバとの通信は、基本的には暗号化されず、平文でやりとりされる。つまり、通信経路上にいる第三者は通信内容を盗聴できる。だからこそ機密性の高い情報を送受信する場合には、SSLサーバ証明書を利用して通信内容を暗号化するHTTPSが使われてきたわけだ。

　その見分け方として最も簡単な方法が、WebブラウザのURLバーに表示される「錠」マークの確認だった。ECサイトなどを安心して利用するための必須条件ともいえる。だが「常時SSL」は、一見暗号化が不要とも思えるページに対してもHTTPSを使った暗号化通信を行う。これは一体なぜなのだろうか。

　今回は、常時SSLがもはや無視できないという理由と対応することのメリットを解説しよう。なお、現在ではSSLの進化版である「TLS」（Transport Layer Security）が利用されているが、本記事では一般名称として浸透したSSLという表記で統一する。