Webサイトは常時SSLにすべき?

2012年3月30日 17:45

印刷

記事提供元:スラド

あるAnonymous Coward 曰く、  ITmediaの記事によると、米国でWi-Fiサービス上での中間者攻撃への対策としてWebサイトを常時SSL化すべきだとの提言がなされており、支持が集まっているという。

 この提言は2月に行われたセキュリティカンファレンスRSA Conference 2012のセッションで、インターネットサービス企業やセキュリティ企業、米国政府機関などが参加する「Online Trust Alliance」により行われたもの(日本語白書)。背景には、Wi-Fi通信で暗号化されていないセッションを自動的に検出してcookie情報を盗み取る「Firesheep」というツールによる「サイドジャック」という中間者攻撃が発生していることと、近年のWi-Fiサービスの急拡大に伴ってこの対策が求められていることがある。

 中間者攻撃への対策としては他にもVPNを用いることなども考えられるが、そうしたユーザー側での対応には限界があり、Webサイト側で対処する方が効果的だとしている。この提言にはGoogleやFacebook, Twitterといった大手企業も賛同の意を示しているという。

 SSL化によるパフォーマンス低下や証明書のコストが気になるところであり、またこの提言を行ったOTAにはSSL証明書を販売するVerisignが参加しており、マーケティングの一環ではと思ってしまう面も無きにしも非ずだが……。

 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | インターネット

 関連ストーリー:
SSL3.0/TLS1.0 に脆弱性 2011年09月29日
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日
なぜすべての Web サイトが HTTPS を使わないのか ? 2011年03月25日
WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される 2010年10月28日

 

※この記事はスラドから提供を受けて配信しています。

関連記事