オーダーフォームやログイン情報入力ページなど、機密性の高い情報を入力するページだけをHTTPS接続にし、SSL暗号化で安全性を確保するというのが、SSL利用の一般的な状況ではないでしょうか。
それに対し、情報入力フォームなどがないページを含めたWebサイト全体をすべて常時SSL化する手法を常時SSL(Always On SSL、HTTPS everywhere)と呼びます。
入力フォームなどとは関係のない静的なコンテンツだけのページの閲覧にも、サーバーとブラウザの通信にCookieやurlリクエストパラメータなどの動的要素が含まれていることがあります。
更にこうした動的要素の中に、セッションIDや閲覧履歴などの情報が含まれている場合もあります。
HTTP通信は平文で行われているため、HTTPSでない静的なコンテンツを閲覧中にセッションIDや閲覧履歴などの情報が容易に盗聴できます。
これらの情報は個人を特定する方法として悪用される可能性があります。
中間者攻撃(MITM)とは、ブラウザとサイトとの通信に割り込み、両者の通信の仲介者となることで、通信を盗聴したり、改ざんしたりすることを言います。
公衆Wi-Fiでだれでもが簡単に中間者攻撃を実行できるといわれているFirefox のアドオン「Firesheep」や、「sslstrip」などの手法が有名です。
中間者攻撃が盗聴と比べてより危険性が高いのは、悪意あるサイトに誘導されることがあるためです。信頼できるサイトでショッピングをしていたはずなのに、決済の段階で中間者攻撃によって悪意あるサイトへ誘導され、そのまま偽サイトとは気づかずに決済させられてしまうこともあります。
これは、MITMを行う通信の仲介者が、決済の段階で、本来のサイトから、偽のサイトに接続を切り替えてしまうことで可能になります。接続を切り替えた先の偽サイトのデザインが本物とそっくりで、証明書も利用されていれば、非常に注意深い人でも気づかずに決済を行ってしまう可能性は高くなります。
一方、サイトが常時SSLになっている場合は、中間者攻撃を行うことは非常に困難です。
特にアドレスバーが緑になるEVサーバ証明書・EVマルチドメイン証明書は、中間者攻撃をほぼ完璧に防止すると言われています。
Webサイトを常時SSL化することはそれほど難しくありませんが、意外に知られていないこと、見落としがちなこともあります。
以下のチェックリストを利用し、HTTPS本来の目的である安全性が達成できるサイトを作成してください。
これを受け取ったブラウザは、サブドメインを含むこのサイトへのアクセスをhttpsに切り替えます。
2014年8月18日時点でHSTSに対応しているブラウザは Google Chrome、Firefox、Operaです。IEは次期バージョンIE12でHSTSに対応予定とされています。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
