RSS

2018/03/15

近づくSSL/TLS リスク、どう対応するのか

Category:

Tag:

 

https_5_550

 

最近、IT関連メディアでよく目にするニュースがあります。

 

それは、Chromeブラウザを提供しているGoogleが、2018年7月からはHTTPSでないすべてのHTTPサイトに対し、Chromeブラウザで「Not secure」メッセージを表示させることを明らかにしたことです。今まではHTTPでもログインなどの入力フォームがある場合のみ表示させてきましたが、これからはHTTPであればすべてアラートメッセージを表示させるということになります。

 

https_1

参照元 : Google 告知: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

 

Google Chromeに続いて他のブラウザもこのポリシーに従うと予想されますが、ただ、日本国内においてはGoogle Chromeブラウザのシェアが40%を占めているため、このポリシー変更の影響は少なくないと思われます。「個人情報や重要なデータを扱っていないからHTTPで問題ない」と考えているWebサイト担当者がいれば、これからは真剣にHTTPSへのサービス転換を準備する時期に来ていることを認識すべきです。

 

ところで、HTTPSへ切り替えるためには考慮すべき点が多く複雑ですが、この解決にはCDN(コンテンツ・デリバリ・ネットワーク)の導入をお勧めします。

 

そこで本ブログでは、なぜCDNの導入が確実で簡単な解決策になれるかをお伝えします。

 

 

1. HTTPSはHTTPに比べパフォーマンスに大きな影響を与える

 

HTTPSはクライアントとサーバの間の通信でcipherや証明書の交換などはるかに多いプロセスを処理するためHTTPに比べて遅くなりがちで、Webサーバに何倍もの負荷を発生させます。

 

例えば下記のイメージはwww.cdnetworks.co.jpから小さいイメージファイル1つをダウンロードするプロセスですが、既存のHTTPより多くの過程が必要ということが分かります。また、各々の通信では転送データの圧縮や暗号化・復号化を繰り返し行うため多くのリソースが必要とされます。

 

https_2

 

従って既存のHTTPのみでサービスを運用している場合、今後はこれまでの何倍ものWebサーバやロードバランサなどのIT設備を準備する必要に迫られます。

 

しかしCDNを利用すればこれらすべてをCDNプラットフォームで処理するため安心です。

 

実際にCDNetworksのお客様の中では、イベントがあるたびに予約が集中しサーバが耐え切れず、Webサイトが遅くなったりエラーが頻繁に発生したりなどユーザからの不満が多く発生していましたが、CDNサービスを導入してからはいつでも安定、かつ快適にサービスを提供できるようになり顧客利用満足度が上がった事例が多くあります。

 

また、CDNを導入すればend to endまですべてのプロセスを HTTPSでサービスすることが可能で、クライアント <—-> CDNプラットフォーム間はHTTPSでサービスしつつ、CDNプラットフォーム<—> お客様のWebサーバの間はHTTPでサービスすることも可能なため、お客様のニーズに合わせて柔軟にさまざまな設定ができます。

 

 

2. 複雑なSSL/TLSの証明書やcipherを常にチューニングしなければならない

 

SSL/TLSを適用しただけでWebサイトの安全性が確保されたということではありません。

 

SSL/TLSでもSweet32、DROWN、FREAKなど用語も難しく理解しづらい新しいセキュリティ脆弱性が次々と公開されています。

 

また、セキュリティ・コンプライアンスのためにSSL/TLS プロトコル・バージョンもマッチさせる必要があり、RC4のような脆弱性のあるcipherを無効にしないとウェブサイトの評判が悪くなる課題もあります。

 

さらに、セキュリティを強化するために強力なcipherだけを有効にすると、まだアップグレードしていない古いバージョンのデバイスやブラウザのユーザはWebサイトにアクセスすらできないなど、きちんと管理しなければむしろ多くの問題を発生させることになります。

 

https://www.ssllabs.com/ssltest/ を見ると、直接自分のHTTPSサイトに対し評価したり、さまざまなサイトの成功・失敗事例を比較することもできます。

 

https_3

2018年月現在ssllabsの画面

 

 さらにSSL/TLS証明書の場合は、毎年契約満了日前に契約更新しなければなりません。

 

例えば、2015年にインスタグラム(instagram.com)のSSL/TLS 証明書の更新漏れにより、一部ではサイトがハッキングされたのではないかと噂が広がったケースもありました。インスタグラム側では、問題を確認し即時に証明書を更新・適用しましたが、その間に多くのユーザがサービスの安定性や信頼度に対して疑問を抱きました。

 

同様のケースは、マイクロソフト・ソニー・Googleなどの代表的なIT企業であっても過去に引き起こしたことがあります。

 

https_4

 

しかし、CDNを利用すればこのような複雑な手続きや管理をすべてCDNetworksが常に最良の条件で請け負って維持/管理するため、Web担当者の負担を減らすことができます。

 

 

結論

 

今やHTTPSは逆らえないトレンドになりました。すでにHTTPよりHTTPSのトラフィックの割合が大きく、Googleなどの検索エンジンではHTTPSでないサイトに対し、検索結果の優先順位を下げるなどSEOにも影響が出ています。

 

さらに、これからはHTTPSでないサイトでは、ユーザはセキュリティレベルを疑って問題を提起したり、簡単なメッセージ入力やメニューをクリックする動作すら不安に思い離脱してしまうかもしれず、結果として訪問者の減少につながってしまうことが懸念されます。

 

SSL/TLSリスクは考えていた以上に手強く、また影響が大きいものです。

 

Webサイト担当者の方は、今すぐにでも自社Webサイトのセキュリティ環境を再チェックし、不明点があればいつでもCDNetworksにご相談ください。

 

=====================================

>>CDNetworksが提供するCDNを利用したSSLサービスの提供についてはこちら

 

 

>> サービスについてのお問い合わせ、ご相談はこちら

株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)

 

cta-sp-22

 

 

PAGE TOP