Webサイトは常時SSLにすべき？

あるAnonymous Coward 曰く、　 ITmediaの記事によると、米国でWi-Fiサービス上での中間者攻撃への対策としてWebサイトを常時SSL化すべきだとの提言がなされており、支持が集まっているという。

　この提言は2月に行われたセキュリティカンファレンスRSA Conference 2012のセッションで、インターネットサービス企業やセキュリティ企業、米国政府機関などが参加する「Online Trust Alliance」により行われたもの（日本語白書）。背景には、Wi-Fi通信で暗号化されていないセッションを自動的に検出してcookie情報を盗み取る「Firesheep」というツールによる「サイドジャック」という中間者攻撃が発生していることと、近年のWi-Fiサービスの急拡大に伴ってこの対策が求められていることがある。

　中間者攻撃への対策としては他にもVPNを用いることなども考えられるが、そうしたユーザー側での対応には限界があり、Webサイト側で対処する方が効果的だとしている。この提言にはGoogleやFacebook, Twitterといった大手企業も賛同の意を示しているという。

　SSL化によるパフォーマンス低下や証明書のコストが気になるところであり、またこの提言を行ったOTAにはSSL証明書を販売するVerisignが参加しており、マーケティングの一環ではと思ってしまう面も無きにしも非ずだが……。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
SSL3.0/TLS1.0 に脆弱性 2011年09月29日
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日
なぜすべての Web サイトが HTTPS を使わないのか ? 2011年03月25日
WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される 2010年10月28日