ブログ

HTTPSを導入しないリスク

2019年3月17日 13:02 | パソコン関連 | | 75 views
タグ: , ,

このエントリーをはてなブックマークに追加
はてなブックマーク - HTTPSを導入しないリスク
reddit にシェア
Pocket
LINEで送る

Googleが各WebサイトへHTTPSの導入を促したり、Let’s Encrypt無償のSSLの配布によってHTTPSが推進されることにより、HTTPSが導入サイトが急激に増えています。

HTTPSが導入されたサイトはブラウザとサーバーとの間の通信が暗号化されており、安全にサイトが利用することができます。

WEBサイト運営者は安全に利用者に対してサイトの情報を提供することができます。

ユーザーがHTTPSを導入したサイトを利用しないリスクとしては、パスワードなどを含めた個人情報が流出してしまう、ユーザーが偽サイトに誘導される、あるいは本来意図していないをダウンロードしてしまうという、などが挙げられます。

HTTPSを導入していないサイトではブラウザとサーバー間が一切暗号化されていないため、通信経路で盗聴することを防ぐことができません。

インターネットは個人のPCとサーバーとの間に、Wi-Fiアクセスポイント、スイッチングハブ、ルーター、プロバイダ、プロバイダからも目的サーバーまでに複数のサーバーを中継していきます。

その間に何らかの悪意あるサーバーや機器所有者がいる場合、情報流出の可能性があります。

現在フリーWi-Fiなども普及している中でこれらのリスクは無視することができません。個人情報を記入した入力フォームなどでは特に気をつけることです。

サイトのドメイン・アドレス(www.sys-cube.co.jp)はそれぞれDNSという仕組みによりIPアドレスに変換され、目的のサーバーに接続する仕組みです。

HTTPSのサイトの場合はIPアドレスとドメインがマッチしているかは検証されます。HTTPSサイトではない場合、現在利用しているDNSが変換するIPアドレスのサーバーに誘導されます。このDNSに不正が行われている場合、偽のサイトに接続しても警告されることがありません。

これらも先ほどの経路上の悪意によって不意なタイミングで被害を受ける可能性があります。

これらによる被害がユーザーに出た場合、サイト運営者としては早めのHTTPS化を行なっていれば未然にこれを防げたことになります。

HTTPS化を行えばこれらリスクを防止が可能であり、運営者は早めにこれらを導入することが必要です。