世の中、常時SSL化だそうです。
2016年頃からでしょうか。Webサイトは入力フォーム等がなくてもSSL推奨!と見かけるようになったのは。(っていうかいつまでSSLっていうんですかね。TLSですよね、正確には。まあ別にどっちでもいいんですが)
実は私、常々このどのようなサイトでもSSL化すべき!という論調は当時から「はて、そうだろうか?」と思っていました。
SSL(もといTLS)は非常に良く出来たシステムの上に成り立っています。公開鍵暗号技術の基、認証局、証明書、ブラウザなどが完璧といえる役割を果たすことでユーザを通信経路上の盗聴や改ざんといった脅威から守ってくれます。
しかし常時SSL化が当たり前の世界になったらどうでしょうか。SSL化しているデータは暗号化しているため他人が盗み見ることは出来ません。個人宅でネットしているだけなら構わないかもしれませんが、企業はそうはいきません。統制のため、社員監視のため、セキュリティー確保のためといったあらゆる理由で社員のWeb閲覧を監視する必要があります。しかし常時SSL化していては監視ができません。そこで登場するのがSSL復号化技術です。SSLで暗号化されているデータをわざわざ復号化して中身を盗み見て監視します。既にそのような技術は確立し製品もあります。
そうなると次にどうなるか。私は以下のような世の中になってしまうのでは無いかと危惧しています。
- サイトはSSL化されている
- SSLは復号化されて当たり前
- SSLだけでは暗号は不十分
- 他の暗号化技術を使おう(もしくはSSLも使いつつ他も使う)
折角すばらしいエコシステムの上に成り立っているSSLという技術が常時SSL化のせいで信頼を失うという本末転倒な結果になってしまわないかと昔からぼんやり考えています。
そのサイト、本当にSSL化が必要ですか?
確かにオンラインバンキングや個人情報の入力、クレジットカード番号を入力するサイトはSSL化が必須と考えます。しかしそのような情報の入力や閲覧が無いサイト、ましてや個人のブログサイトまでもがSSLで暗号化する必要があるのでしょうか。
という訳で本ブログもSSL化しました(爆)
逆、逆、真逆です(笑)偉そうなこと言っときながら本サイトも常時SSL化しました(激爆)
仕方ありません。世の中が常時SSL化に進んでいます。長いものには巻かれろ精神です。
しかし自身の考えが変わったわけではありません。何でもかんでもSSL化は必要ないと考えます。しかし本サイトもSSL化したほうがよいと考えたのはGoogle Chromeブラウザの挙動の変化が大きいです。
Googleは常時SSL化を強く推奨しています。実際、2017年1月にリリースされたGoogle Chrome 56からはSSL(TLS)化されていない且つ、パスワードやクレジット番号の入力欄があるサイトでは「保護されていません」と出るようになりました。またChrome 62からは全ての入力フォームが対象となり、入力しようとすると同様の警告が出るようになりました。本サイトでも同様に検索ボックスに入力しようとすると「保護されていません」と出ます。
検索ボックスに入力しようとすると「保護されていません」という表示に変化します。これはいけない。本サイトは検索ボックスの他にコメント欄があり、名前とメールアドレスを入れる仕様になっています。個人のブログサイトに入力するコメント内容が暗号化するほどの機微なデータなのかというのは人それぞれの考え方によります。それよりも一番懸念したのは「保護されていません」と出ることで「このサイトは危ないサイトなのかな?」と誤解を招いてしまうことです。
折角、閲覧してくれている方、コメントを入れてくれる方に不要な心配をさせてはいけないなと思い、今回常時SSL化することとしました。
常時SSL化は非常にカンタン。
本サイトはさくらのレンタルサーバ + WordPressで運用されています。
さくらのレンタルサーバでは無料のSSLサーバー証明書「Let’s Encrypt」をコントロールパネルから簡単に設定できる機能を提供しています。合わせてWordpressのプラグインが提供されており常時SSL化を後押ししてくれます。やり方は公式サイトに手順が載っており、手順通りにすすめることで問題なく、そしてあっさり常時SSL化が完了します。
以上、常時SSL化した経緯と私の考えについてでした。