Webのセキィリティ強化を求められ、HTTPS化が進む今、Webサイト全体をSSL化する手法「常時SSL(Always On SSL、HTTPS everywhere)」が急速に広まっている。

ところで、「常時SSL」とは、どういうことだろうか。

◎HTTPであればつながるWebとセキュリティ対策
もともとWebは「HTTP」というプロトコルが実現した世界だ。
プロトコルというと難しく感じるかもしれないが、Webクライアント(たとえばブラウザーソフト)とWebサーバーが通信するやり方を決めておくこと。

異なるメーカーのソフトウェアでも、その方法(プロトコル)に従っていれば、同じように情報のやり取りができるということ。

このプロトコルのおかげで、インターネットは、ここまで普及、定着したインフラになったともいえる。

どちらかというと"ゆるい"発想のHTTPには、セキュリティの問題が多々ある。
これはHTTPに限らずで、インターネットの基本的なプロトコルはあまりセキュリティ対策を意識しない作りになっている。

当然、このままでは安全性が上がらないので、
アプリケーションレベルのプロトコル「SSL (Secure Sockets Layer) 」というセキュリティを担保するプロトコルと組み合わせることでセキュリティ対策を行ってきた。
Telnet然り、FTP然り、HTTP然り。

SSLとは、ざっくりいうと

・公開鍵証明書を使って通信相手を認証する
・共通鍵暗号(秘密鍵暗号)により通信を暗号化する
・ハッシュ関数により改ざんを検知する

という機能を提供するもの。

ちなみに、TSL(Transport Layer Security)と言われることもあるが、これはほぼ同義ととらえていい。SSLはもともとNetscape Communications社が開発した技術で、それを標準化したのがTSLという位置付けだ。

◎HTTPSにあらずんば……
現在、すでにWebサイトではクレジットカードなどの決済情報を送信する部分にほぼ必須でSSLが使われている。

だが、決済以外の部分では、素のHTTP通信のままということがほとんどだった。

SSLを導入するにはサーバー証明書をいわゆるCA機関に発行してもらう必要がある。
その手続きには費用がかかるし、手続き自体、煩雑だからだ。

決済以外の部分は、

・単に情報を発信し読んでもらうだけ
・クレジットカード情報を受け渡しするわけではない

というのがその理由だろう。

ところが、最近になって、そうも言えなくなってきたのである。

その「HTTPでつながっておけば……」の前提が崩れてきたのだ。

ここ数年、Google Chrome、Firefox、Internet Explorer、Safariなどの主要ブラウザが、HTTPSに非対応のサイトへのアクセスに対し警告メッセージを発するようになっている。
そして、徐々に警告のレベルが上がっているのだ。

Chromeでは2017年1月より、
SSL化されたサイトであればアドレスバーには「保護された通信」と表示されるようになった。一方、SSL化されていない場合「!」マークが表示され、クリックすると「このサイトへの接続は保護されていません」と、機密情報を送信しないよう注意が表示される。

Firefoxでも2017年3月より、
SSL化されていないページでユーザー名やパスワードを入力しようとすると警告のポップアップが表示されるようになった。

今後、Googleは安全ではないHTTPサイトをタグづけする予定、というアナウンスもある。
将来的にこうした、より安全なブラウジング情報をユーザーに提供するというサービスを展開していくのではないかと思われる。

一方Appleは、全iOSアプリを対象にApp Transport Security (ATS)適用を2017年1月1日より義務化するとしたアナウンスを延期した。

そもそも2015年に導入されたATS。ATSに適用させるためにはインターネット経由の通信をすべて暗号化したHTTPSで行わなければならない。しかし、アプリから通信する相手すべてがHTTPS通信に対応している必要があるなど、現状を鑑みると、実現は難しい。

Apple側も一度は強行に義務化を行うとしたのだが、思惑通りには進まず、2016年12月の段階で「さらなる時間を与えるため、最終期限を延長する」としたということになる。

とはいえ、常時SSL化が必須という流れは変わってはいない。

◎常時SSL化になると何がうれしいのか?
では、常時SSL化すると何がうれしいのかというと、

・Googleの検索順位優遇によりSEO対策に効果
・盗聴やなりすましを防止
・ウェブサイトの信頼性を向上

と言われている。

Googleは2014年8月に、SSL化されたWebサイトをSEOの評価として優遇することを公式にアナウンスしている。

SSL化するだけでそこがクリアできるということ。また、一部のみSSL化するのではなくサイト全体をSSL化することで、SEO効果も大きく上がるだろう。企業やサイト運営側にとって最大の利点は、そのSEO効果のアップだ。

一方、ユーザーも含めてうれしい効果もある。それは安全性の向上だ。

安全で当たり前でしょと言いたいところだが、今のWebがそうなっていないのが現実だ。
しかし、Webクライアント・Webサーバー間が、完全にいつでもどこでもSSLでセキュアとなれば、たとえば市中の暗号化されていないWi-Fi使用時でも、リスクを低減できる可能性がアップする。

また、来るHTTP/2プロトコル(いまのHTTP1.1を効率化、高速化したプロトコル)の普及にはSSL化が必須となる。そうした背景もあり、いま常時SSL化の動きが激しくなっているというところなのだ。

HTTPであればつながった、ゆるやかなWebも、いまは昔となりつつある。
様々な仕様や制限を追加されて運営も、管理も、使い方も、高品位で厳しくもなっていく。安全には変えられないからだ。


大内孝子