常時HTTPS化の落とし穴<問題編>
- テクノロジー
PCブラウザシェア1位の「Google Chrome」が2017年10月リリース予定の「バージョン62」で、HTTPでアクセスしたページにある入力欄に入力しようとすると、アドレスバー横に警告を出すように仕様が変更されることになりました。
これは意外に影響が大きく、問い合わせページやログインページだけでなく、サイト内検索窓がついているページ──つまりユーザビリティに配慮したサイトのほぼすべてのページ──がHTTPSでなければ警告が表示される可能性があります。
HTTPSはHTTPを安全にしたもので、以下のような特徴があります。
- 通信を暗号化する
- そのサイトが本物であることを保証する
HTTPSを使うと、サーバとブラウザの間は完全に暗号化された通信が行われるため、途中の経路で内容を盗み見したり、内容を書き換えたりすることは「誰にも」できなくなります。そのため、サーバとブラウザの間に入って便利な機能を提供するいろいろな機器、ソフトまでもまったく使えない、もしくはかなり機能が制限されてしまいます。
暗号化で締め出されるのは攻撃者だけではない
ロードバランサ
複数のWebサーバに処理を割り振って、1台では処理しきれないほどたくさんのリクエストに応えられるようにするときなどに使う機器です。通信が暗号化されると「同じブラウザからのリクエストは、毎回、同じサーバに向かうようにする」という仕組みが使えなくなり、お問い合わせフォームやログインフォームで不具合が生じることがあります。
WAF・IPS
サーバを攻撃するコードや、逆に利用者を攻撃するコードをブロックするセキュリティ機器です。リクエストや応答の中身を見て判定するので、暗号化されている通信に対してはほとんど役に立ちません。
次回はこれらの問題に対する解決策をご紹介します。
関連リンク
グーグル、HTTPページへの警告表示を強化へ--10月リリース予定の「Chrome 62」から(CNET Japan)
関連コラム
この記事に関するご相談やご質問など、お気軽にお問い合わせください。