Webサイトは常時SSLにすべき?
2012年3月30日 17:45
あるAnonymous Coward 曰く、 ITmediaの記事によると、米国でWi-Fiサービス上での中間者攻撃への対策としてWebサイトを常時SSL化すべきだとの提言がなされており、支持が集まっているという。
この提言は2月に行われたセキュリティカンファレンスRSA Conference 2012のセッションで、インターネットサービス企業やセキュリティ企業、米国政府機関などが参加する「Online Trust Alliance」により行われたもの(日本語白書)。背景には、Wi-Fi通信で暗号化されていないセッションを自動的に検出してcookie情報を盗み取る「Firesheep」というツールによる「サイドジャック」という中間者攻撃が発生していることと、近年のWi-Fiサービスの急拡大に伴ってこの対策が求められていることがある。
中間者攻撃への対策としては他にもVPNを用いることなども考えられるが、そうしたユーザー側での対応には限界があり、Webサイト側で対処する方が効果的だとしている。この提言にはGoogleやFacebook, Twitterといった大手企業も賛同の意を示しているという。
SSL化によるパフォーマンス低下や証明書のコストが気になるところであり、またこの提言を行ったOTAにはSSL証明書を販売するVerisignが参加しており、マーケティングの一環ではと思ってしまう面も無きにしも非ずだが……。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | インターネット
関連ストーリー:
SSL3.0/TLS1.0 に脆弱性 2011年09月29日
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日
なぜすべての Web サイトが HTTPS を使わないのか ? 2011年03月25日
WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される 2010年10月28日