パスワードを忘れた? アカウント作成
311065 story
インターネット

なぜすべての Web サイトが HTTPS を使わないのか ? 69

ストーリー by reo
もしそうなったらオレオレは何割になるだろう 部門より

ある Anonymous Coward 曰く、

本家 /. にて、「Why Doesn't Every Website Use HTTPS?」という興味深いストーリーが立てられている。

「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問が寄せられているだけなのだが、多数の回答が寄せられている。挙げられている理由としては「SSL 証明書を取るのにコストがかかる」「クライアントのパフォーマンスが悪化」などが寄せられている。

ただ、SNS サイトや個人情報を要求されるサイトは増えており、「すべての Web サイトを HTTPS 対応に」という話は悪くないような気がする。実際 Twitter や Google など、HTTPS 対応サイトも増えている。あなたのサイトも HTTPS 対応を検討してみては ?

# なんか SSL 証明書の営業みたいなタレコミになってしまった

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年03月25日 11時48分 (#1925141)
    >「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問

    答えも至極簡単ですよ。
    すべてのサイトがセキュアである必要なんてないからです。
    愚問もいいとこでしょう。

    ・・・と書いたところで、本家のストーリーも確認しました。
    なんと、

    > You wouldn't write your username and passwords on a postcard and mail it for the world to see, so why are you doing it online?

    と書かれています。本家のストーリーでは、ログインが必要なWebサイトに限定して「なんでHTTPSを使わないの?」と問いかけているんですよ。
    本家のストーリーを紹介するなら、ちゃんと紹介してください。
    大事な前提をすっとばして、一体どんな議論を期待したのやら・・・。

    今流行の「デマの拡散」でしょうか。
    たれこんだACも、なんの疑問も持たずにそのまま掲載した編集者も猛省を促したいです。
    • by Anonymous Coward on 2011年03月25日 18時14分 (#1925445)

      違います。それはHTTPがセキュアでないことを葉書の例で説明している部分を取り出しているだけです。
      最後まで読むと、ウェブ全体がHTTPSを使わないのはなぜかと問いかけています。

      But if HTTPS is more secure, why doesn't the entire Web use it? [arstechnica.com]

      さらに、このリンク先の記事を見れば、

      So the Web is clearly moving toward more HTTPS connections; why not just make everything HTTPS?

      と問いかけていて、ログインに限った話ではないことは明らかですね。

      親コメント
    • by Anonymous Coward

      大事な前提: reo

    • by Anonymous Coward

      これは、サーバも通信もセキュアにしても
      書かれている内容はセキュアじゃないかも、という
      深淵なメッセージが秘められていたに違いない(キリッ

  • by Anonymous Coward on 2011年03月25日 10時42分 (#1925098)

    IPSやWAF、UTMに積んでいるAnti-Virusといった機能は、HTTP(クリアテキスト)のトラフィックを監視して、
    SQL InjectionやHTTPでダウンロードされるマルウェアの感染を遮断してくれてるわけですが、HTTPSになると
    これらの機能が使えなくなります。
    (サーバサイドはSSLアクセラレータの後ろに設置すれば良いかもだけど、クライアント側は無理)。
    会社から特定SNSへの書き込みを禁止するといった製品も、原理的に同じ事をしてるはずです。

    すべてがHTTPSになると、むしろ危険になるような面もあるかも。

  • まず隗より (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2011年03月25日 10時35分 (#1925090)

    /.は?

    https://slashdot.org/ [slashdot.org]
    httpに飛ばされる

    https://srad.jp/ [srad.jp]
    「正常に接続できませんでした slashdot.jp のサーバへの接続を確立できませんでした。」

    by Firefox 3.6.x

  • 無料ですが? (スコア:2, 参考になる)

    by Anonymous Coward on 2011年03月25日 10時42分 (#1925096)
    StartCom [startssl.com]のclass 1サーバ証明書は無料ですよ。
    • by bero (5057) on 2011年03月25日 15時24分 (#1925309) 日記

      コストといえば普通、導入や運用の手間も含めます。
      オープンソースのコスト、という言い方をしますよね。
      1年無料のものを毎年更新して差し替えるより、5年50$とかを買ったほうがたぶんコストは低い。
      あとStartComは使えないブラウザがあったので(今はシラネ)「使えねー」というクレームに対応する手間も考える。
      更新自体が趣味や勉強なら別だが。

      #高木氏のページがSSLエラーになったので「彼がオレオレ証明書って紺屋の白袴か?」と思ったらStartComだった

      親コメント
  • by marute (13883) on 2011年03月25日 10時44分 (#1925102) 日記

    オレオレ証明書が氾濫するかも…そんなのは嫌だ!

    • by Anonymous Coward

      おっと、既出でしたね。

      M1で沈めて下さい…

      #既出なのでACのmarute

      • by Anonymous Coward
        判断するのはモデレータの権利ですので、個人のお願いは無用です。
        てか、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?

        モデレータのみなさんは、こんな事で大事なモデレート権を無駄につかっちゃだめですよ。
        • by Anonymous Coward

          >てか、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?

          という、このコメントをうめるために、さらにモデレート権を無駄にさせるつもりですか?

          • by Anonymous Coward
            スレッドごとマイナスモデをつけられる機能を希望してるんですね。わかります。
        • アカウント保持者全員に一日一回モデ権を使えるとかじゃあだめなの?
          ACでも結構いいコメントが埋もれていてもったいない気がする。

          仁科かわいいよACAC

  • 手間やお金もかかるのもありますが、証明書を使う上でIPやドメインの紐付けが必要になりますが、共用だったりWebサーバーのバージョンによっては複数もてなかったりとか色々と制限があることも多いです。
    全部SSLにすればよりセキュアなのかもしれませんが、必要なところに必要に応じてセキュアにすればいいだけかと。

  • プライバシーに関連するデータの転送にはHTTPSを選択できるサービスが増えている印象があります。

    けれどボタンを埋め込んだりしていると、twitterで一部のJavaScriptファイルがhttpsで取得できなかったり、GoogleでJavaScript中に埋め込まれているリンク等のアドレスがhttp固定で、ブラウザから警告された経験があります。

    それ自体は安全性やプライバシーに問題がでるものではないですが、警告を無視する癖がつくのは良くないなぁと思っています。

    --
    YasuhiroABE
  • by Anonymous Coward on 2011年03月25日 18時17分 (#1925449)
    ずいぶん昔のことなんで記憶があやふやなんですが、tcpdumpでキャプチャしたところ
    httpとhttpsで最初のセッションを張るまでの時間が100倍違いました。
    SSLのセッションでサーバ側で暗号鍵でのデコード処理に時間が掛かっていたような
    記憶があります。ただしサーバのCPUクロックが200とか400Mhzとかで、ソフトウェア
    ではなくハードウェアでSSLの処理を行うようにしたら10倍速くなったという話も
    ありましたがソフトウェアのアルゴリズムを変更したらハードウェア処理より
    早くなったとかいう時代ですw
    現在の大規模なサーバではCPUで処理してるんでしょうかね?それともやはりSSL
    アクセラレーターを使ってるんでしょうか。
    • by Anonymous Coward on 2011年03月25日 19時01分 (#1925493)

      >現在の大規模なサーバではCPUで処理してるんでしょうかね?それともやはりSSL
      >アクセラレーターを使ってるんでしょうか。

      場合によるよね。
      大規模な環境ではロードバランサを利用してるだろうから
      L7で制御したかったら、好き嫌いなくロードバランサでほどかないとできないってことで
      結果的にSSLアクセラレータを使ってるよ。

      でも、かなりピークの激しい証券さんがOSS利用の講演をしてくれた時に、
      最近のIAサーバではSSLアクセラレータが欲しい事はほぼ無いよって言ってたっけ。
      それにうちもASPのビジネスをやってるけど欲しいって思うシチュエーションが
      見当たらないよ。
      アプリとかミドルウェアの処理速度が先に問題になるし。

      親コメント
  • カスタマーの証明書に対する安全意識が麻痺するような気がする

    • by Anonymous Coward

      発想の転換というか……、本家でも書かれていますが、
      オレオレhttps を https として扱うから安全意識うんぬんの話になるのであって、
      ダダモレ http と同じものとして扱えば大丈夫なのではありませんか?
      http://tech.slashdot.org/comments.pl?sid=2047006&cid=35558680 [slashdot.org]

      アドレスバーの色も変えない、その代わり警告も出さない。

      じゃあ http でええやん、ということになりますが、
      とりあえずその(誰だかわからない)証明書の持

      • by Anonymous Coward

        >とりあえずその(誰だかわからない)証明書の持ち主との経路では暗号化されますし

        ものすごく的確な故に誤解を誘う書き方だな。
        確かに「証明書の持ち主」という書き方であれば、暗号化通信は担保される。
        しかしオレオレの問題は「証明書の持ち主」=「オレオレサイトの持ち主」であることを検証できない点にあり、
        「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
        どれだけの人が理解できているだろうか。

        • by Anonymous Coward

          >「どこの誰とも分からないオレオレサイト」と繋がってるかどうかすら保障できないということを、
          >どれだけの人が理解できているだろうか。

          それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。
          普通のhttp だって、そこは担保されてないんですから。
          (ブラウザの使い始めは、google にクエリを出す時さえ警告されますよね、確か)

          ブラウザの反応は
          現状:「おいおい httpsって言ってるのにルートねえよ、ヤベーって!」

          ですが、httpsっていうだけで高い要求をせずに、
          「はいオレオレですね、クレカ番号は入れないでくださいねー」
          という(http と同じ)反応にしてもいいんじゃないかと。

          • それは理解できなくていいものとしてオレオレ証明書をhttp扱いする、という提案なんです。

            それよりもブラウザに「オレオレ」と赤い文字で表示すればいいだけだと思う。
            それが何を意味するのか知っている人は知っているなりにアクセス(する|しない)し、知らない人はどうせhttpと同じように何も考えずにアクセスするのだから。
            そして「オレオレ」表示が出るのが嫌なサイトオーナーはそれが出ないように(考える|下請けに指示する)ようになるだろうし。

            親コメント
          • 安全性が疑わしい状況で根拠もなく「安全です!安全です!」って言う奴は、そこいらの見知らぬ人より断然胡散臭く感じるんだが…

            あー、他意はありません、念のため。

            親コメント
      • by Anonymous Coward

        信頼できない認証局 [srad.jp]が発行した証明書よりも信頼できる方法で検証可能な第四種オレオレ証明書 [takagi-hiromitsu.jp]の方がずっとセキュアだと思うのですが…
        まぁ不特定多数に公開するには向かないのですが、企業内で使うグループウェアなどで用途はあります。
        オレオレ証明書は悪、認証局発行の証明書は善といった二元論にならないことが大事ですね。

  • 理由 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2011年03月25日 10時43分 (#1925099)

    1. 金がかかる。
    2. セットアップに多少手間がかかりめんどくさい。
    3. 1.と2.併せて定期的に更新する必要がある。
    4. 特に秘密にする必要もないし、所在についてもそんなに気にする必要がない、または外部DNSにより
    ある程度は保証されている。
    5. IPSによるが、httpsだとIPSが攻撃コードを検知できない。

  • CA自体が… (スコア:1, おもしろおかしい)

    by Seth (1176) on 2011年03月25日 10時43分 (#1925100) 日記

     2048bit、3階層パータンが定着しつつあるが、
    元々が…(走召糸色木亥火暴)

     え~し~は脳内補完でV

    --
    ------------------------------ "castigat ridendo mores"
  • このストーリを読んで、下記の記事を思い出しました。
    http://takagi-hiromitsu.jp/diary/20080703.html [takagi-hiromitsu.jp]
    高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性

    閑話休題、
    https については、wikipedia の記述も参照すべきでしょう。
    http://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]

    実際にはHTTPSはWebブラウザとWebサーバの間の通信を暗号化して、
    盗聴を防いでいるに過ぎない

    クライアントとサーバ間の盗聴が回避できるだけでも、
    安全性が高くなることは事実です。
    しかし、隠匿を要する通信ばかりでもないと思うのです。
    例えば、/.jp のような bbs サイトで、ログイン情報以外の、
    閲覧・コメント投稿などが盗聴されたが為に、
    激しく困るような事態は、想像し難い気がします。

    何が何でも、全てのサイトに https を適用するという意見は、
    やや大げさであるように思えます。

    // キャプションが「前妻との https の利用」と変換されて、
    // ぎょっとしたけどid

  • IPベースのバーチャルホストなら問題ありませんけど、Name-based Virtual Hostだと面倒じゃないですか。

    昨日の偽証明書事件で、Microsoftにパッチ取りに行ったら、平のhttp、あるいはhttps/http混在ページからダウンロードするようになっていたのには驚きましたけど。

  • by Anonymous Coward on 2011年03月25日 10時48分 (#1925105)

    何で手を上げて横断歩道を渡らないの?その方がセキュアなのに
    等と言われても信号機だけで充分安全でそれ以上は求められていない

  • by Anonymous Coward on 2011年03月25日 10時49分 (#1925107)
    httpは監視付ブラックリスト、httpsはホワイトリスト
  • by Anonymous Coward on 2011年03月25日 11時15分 (#1925122)
    (T/O)
  • by Anonymous Coward on 2011年03月25日 12時10分 (#1925157)
    なぜすべてのブラウザは(Firefox|Opera|Chrome|IE|w3m)にならないのか?
    なぜすべてのエディタは(vi|Emacs|ed)にならないのか?
    なぜすべてのデスクトップOSは(Linux|Hurd|BSD|Windows|OS/2)にならないのか?
    なぜすべてのソフトウェアライセンスはGPLにならないのか?
    • by Anonymous Coward
      なぜすべてのデスクトップOSはMacにならないのか?

      …だったらすごいんだけど(何が)。
  • by Anonymous Coward on 2011年03月25日 12時17分 (#1925167)

    なんで彼女つくらないの?
    とか
    なんで都心に済まないの?
    並にウゼー

  • by Anonymous Coward on 2011年03月25日 14時08分 (#1925257)
    httpsしかいらないんだったら、httpなんて作る必要なかったんじゃないの?
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...