なぜ必要なのか(社会的な背景)
盗聴、改ざん、なりすましなどのセキュリティリスクに対抗するため
従来は、 暗号文(HTTPS)通信を使用すると通信速度が遅くなるため、パスワードや個人情報などを入力するページのみをHTTPS化し、通信を保護していた。(ログインページや、クレジットカードの決済ページなど)
現在では、有線・無線ともに通信速度が向上したため、Webサイト全体を常時SSL化することが求められている。
有線… 電話回線→ISDN(最大64kbps)→ADSL(最大100Mbps)→光(最大1Gbps)
無線… 3G→4G(現在)→5G(2020年以降)
常時SSLをすることで、以下のようなサイバー攻撃の被害を防ぐことができる。
- Cookieの盗聴…他人のCookieを利用することで、そのユーザーに成りすましてサービスにログインし、操作を行う
- Webサイトの改ざん…Webサイトの情報を改ざんし、偽サイトに誘導することでユーザーの個人情報を不正に入手する
HTTP通信はハガキ、HTTPS通信は封筒に例えることができる。
ハガキは他人が簡単に内容を見ることができるが、封筒は破らないと内容を見ることができない。封が破られていたら、内容が変えられているか、他人に情報を盗まれている可能性を考えることができる。
常時SSLでないとどうなるのか…
- 検索に表示されづらくなる(HTTPS化されているWebサイトが優先的に表示される)
参照 ― Googleウェブマスター向け公式ブログ - HTTPSのページからHTTPのページに来たユーザーのリファラ情報を取得できないため、ユーザーの分析ができない
リファラ情報…ユーザーがページを訪れる際に利用したリンク元のページの情報 - ブラウザのアドレスバーに「保護されていない通信」「安全ではありません」と表示される
Google Chromeブラウザからサイトを閲覧したとき
Safariブラウザからサイトを閲覧したとき