SSLの必要性と導入の広がり
SSLとは、HTTP通信において、暗号化の提供およびサイトなりすましを防止するための技術です。
現在、スマートフォンが急激な勢いで普及していますが、公共無線LAN環境での利用はかなり危険な状況が続いています。サイトのなりすましや通信の盗聴が水面下では広く行われており(Internetからツールをダウンロードすれば、あまり知識が無い人でも実行できます)、これらに対する防御策が必要になっています。
そのため、これらの脅威から防御するための技術であるSSLが近年大きな注目を集めており、米国ではOnline Trust Alliance等の業界団体が常時SSL(Always on SSL:非暗号HTTPを廃止しサイト全体をSSLとする)の推進を行っています。その結果、金融機関等の常時SSL化はほぼ完了しており、現在は以下のサイトのような大手(検索、SNS、EC)サイトについても常時SSLの導入が始まっています。
Google検索 | 2012年3月からログイン後は常時SSL化 |
Google Gmail | 2014年3月から常時SSL化 |
2014年7月から常時SSL化 | |
Amazon | ログイン後は常時SSL化 |
日本では、米国ほど常時SSLはまだ普及していませんが、Internetの常として米国より少し遅れてトレンドになると思われます。
動画配信のSSL化
動画のSSL配信というと、従来はコンテンツを守るために行われてきましたが、現在は、ユーザーを守る(盗聴・改ざんの防止)ために使用され始めています。実際に、YouTubeは現在無料動画についてもSSLにより配信しています。これは、YouTubeにおける動画配信のHTTP(MPEG-DASH)化により、非暗号HTTPで動画配信を行うと、ブラウザのアドレスバーに以下のような三角のワーニング(図1)が出ることを避ける意味合いもあると思われます。
※1:図1のスクリーンダンプはスマートフォン用YouTubeのページをエージェント偽装によりPC上のChromeで表示させたものです。
※2:スマートフォン向けYouTubeサイトについては、常時SSL化は行われておらず、非暗号HTTPでもアクセス可能です。また、SSLサイトについても、コンテンツ部分については非暗号HTTPで配信され、図1のようにワーニングが出ます(ただし、Android 4.x上のYouTubeアプリの場合、全ての通信はSSLです)。Android端末のChromeの場合、アドレスバーは以下のようにhttps部分が黄色表示になります(図2)。
技術面におけるSSL必須化
現在、HTTP次世代プロトコルの策定が進んでいます。そして、次世代HTTPにおいて、SSLは必須になりそうな勢いです。
SPDY
Googleは、HTTP高速化を目指し、HTTPの置き換えとなるSPDYプロトコルを開発しました。SPDYはSSLの拡張として作られており、通信の暗号化が行われます。そして、最近のブラウザ(IE11、Chrome等)からのGoogleへのアクセスは、デフォルトではすべてSPDYが使われています。また、Apache等のWebサーバでSPDYが使用可能になったこともあり、一般サイトにおけるSPDYも普及しはじめています(Facebook等もSPDYに対応済みです)。
HTTP/2
次世代HTTPの業界規格であるHTTP/2も、SPDYをベースにしています。そして、HTTP/2では非暗号の通信も規格上では含まれていますが、現在のところ、多くのブラウザ開発者は非暗号モードのHTTP/2を実装しないと表明しています。そのため、次世代HTTPプロトコルという意味合いでも、暗号通信の普及が進みそうです。
SSL証明書の低価格化
HTTPのSSL化には、SSL証明書が必要になります。この証明書の取得には、第3者認証機関に発行を依頼する必要があり、従来は安いものでも数万円/年間の費用が必要でした。しかし、最近は千円程度/年間の証明書もあります。また、無料で使えるSSL証明書も登場しはじめています。以下に、代表的な提供組織を紹介します:
提供団体 | 補足 |
StartSSL社 | 無料証明書の発行。2006年開始 |
CloudFlare社 | 無料CDNにおける無料マルチドメイン証明書。2014年開始 |
Internet Security Research Group |
常時SSLを推進するために業界団体が無料証明書を発行。2015年開始予定 |
マーケティング・広告への影響
マーケティング・広告においても、サイトのSSL化は大きな意味を持つようになっています。
ページランク
SSLの重要性の高まりとともに、Google社は2014年8月に、ページ検索表示順序においてSSLサイトを優遇すると宣言しました。現状、SSLはサイトランキングにおいてそれほど大きな影響を与えていませんが、今後、Googleはこの影響度を上げていくと思われます。
リファラ
大抵のブラウザは、セキュアなサイト(SSLサイト)から非セキュアなサイト(通常のHTTPサイト)に移動した場合、リファラ(リンク元情報)を非セキュアなサイトに送信しません(HTTPで規定された動作です)。
そして、Google検索の常時SSL化に伴い、非SSLサイトの場合、Googleからのリファラを取得できなくなりました。Google以外のサイト(Facebook等)においても、この常時SSLは広まりつつあり、リンク元情報の取得のためには、サイトのSSL化が必要となっています。
ただし、SSL版のGoogle検索は検索キーワード(リファラのqパラメータ)をサイトに送信しなくなったため、サイトをSSL化しても検索キーワードを取得することは出来ません。そのため、Google Analytics等で検索キーワードがnot providedと表示され取得できなくなっています。
SSL版のGoogle検索も検索キーワードをサイトに送信しなくなったため、サイトをSSL化しても検索キーワードを取得することは出来ません。
広告配信・トラフィック解析サービスのSSL化
主要サイトのSSL化に伴い、Webサイトにタグを埋め込む必要のあるサービス(広告配信、Webトラフィック解析)のSSL対応が必須となっています。これは、SSLサイトにおいて外部JavaScript等をHTTPで埋め込むと、ブラウザは基本的にそれを表示しないためです。なお、イメージ等についてはHTTPで埋め込んでも表示されますが、アドレスバーに前述した三角のワーニングが表示されます。
おわりに
今回は、SSLの必要性が高まっていることと、普及が進んでいることをご紹介しました。次回は、SSL再入門として、一般ユーザーでも知っておくべき(業界関係者には必須)基本事項について紹介します。