HTTPS入門

Webサイトを作成する際には、入力フォームのページだけでなく、サイト全体をHTTPSにして信頼を獲得することが重要です。
クレジットカード情報や金融取引サイトではHTTPSの利用が当たり前になっています。それ以外でもパスワードを入力する必要があるWebサイトなどでHTTPSの採用が増えていますので、HTTPSに接することも多くなっていますが、インターネットを安心して利用するためには、本来はすべてのWebサイトがHTTPSを導入すべきです。
また、パスワードを入力するページなどの一部のページだけでなく、全ページでHTTPSを利用する必要があります。
「HTTPS入門」では、Webサイト全体をHTTPSにする場合の様々な留意点をご紹介します。

HTTPの危険性

Webといえば、http:// というようにHTTPプロトコルが広く使われていますが、HTTPプロトコルは傍受や改ざんからデータを保護することができず、盗聴、トラッキング、ユーザープライバシーの漏洩などの危険な要素があります。

HTTPSが必要な理由

Webサイトが信頼されるものでなければならないのは当たり前のことです。
サイトが信頼されるためには、以下のような保証が必要です。
しかし、従来からの標準のWeb接続プロトコルHTTPでは、こうした保証はありません。

インターネット通信ではパケットという分割されたデータをネット上のサーバー（ルータ／スイッチ）がバケツリレーのように受け渡ししているため、経路上のサーバーでは常に盗聴が可能です。
経路上のサーバー（ルータ／スイッチ）は受け取ったデータをそのまま経路上の次のサーバー（ルータ／スイッチ）に渡すのが原則ですが、経路上に割り込み、受け取ったデータとは異なるデータを本物のように送り出す攻撃の手口もあります。これを中間者攻撃（MiTM : Man-in-the-Middle Attack）と呼びます。

• 中間者攻撃の手法
• WebサーバーのLAN内で経路変更を行うARPスプーフィング、Wi-Fiで偽装アクセスポイントに誘導するChannel-based Man in the Middle、DNSのデータを書き換えるDNSスプーフィングなどが有名です。bettercapというツールも公開されています。

• 改ざんの事例
• 米国の大手ISP VerizonがX-UIDHというHTTPヘッダーを追加した件や、AT&T’s Wi-Fiの件などが有名です。

こうした危険を防ぎ、安全なWebサイトを提供できるのが、HTTPSプロトコルです。
HTTPSとは、簡単に言うと、HTTPプロトコル上でTLSによって暗号化されたパケットを受け渡すプロトコルです。
ユーザーとWebサーバーの経路上のサーバーでは暗号化されたパケットを解読できないので、Webサイトの安全を確保することができます。

なぜ全ページHTTPSが必要か

Webサイトの一部だけをHTTPSにしている場合、HTTPページのユーザー閲覧履歴が傍受され、プライバシーが侵害される可能性があります。
Cookieが利用されている場合は、個人情報が窃取される可能性がより高まります。

こうした一部だけをHTTPSにしているサイトでは、HTTPページにHTTPSページへのリンクが記載されていますが、リンク元であるHTTPページは改ざんが可能なため、リンクが書き換えられ、不正なフィッシングサイトに誘導される可能性があります。
巧妙に偽装されたフィッシングサイトの場合、ユーザーが不正に気付くことは困難ですので、犯罪者は容易にクレジットカード情報などを盗み取ることができます。
全ページがHTTPSになっていれば、こうした危険が回避できます。

また、HTTPページには、不正なJavaScriptを挿入される可能性があります。
不正なスクリプトを埋め込まれてしまった場合、サイトにアクセスしたユーザーのマシンがウイルスに感染する恐れがあります。
もしそういった事態が起これば、Webサイトの運営者は信用を失うだけでなく、損害賠償を求められることもあります。
こうした事態を避け、Webサイトの安全性とユーザーからの信頼を得るためにも、Webサイト全ページのHTTPS化が不可欠です。

全ページHTTPSが標準に

インターネットに大きな影響力を持つ各種団体も全ページHTTPSを勧奨しています。
全ページHTTPSが標準になろうとしています。

• 次のページ

  HTTPSのコスト　＞＞