Always SSL(常時SSL化/AOSSL)について
昨今では当たり前のようになってきたAlways SSL(常時SSL/TLS化)について、メリットだけでなくデメリット(弊害)がないか考えてみました。
SSL/TLSによる通信はデータ傍受の危険から身を守ってくれる手段としてとても有用です。しかし、以前と比べてhttps化による恩恵が減ってきたようにも見えます。特に証明書の信頼性が以前より低くなってきたのでは?と疑問に感じます。
httpsによって向上するセキュリティとは以前は以下のようなことが考えられました。
- https化はコストがかかるため、その手間をかけている信頼
- 証明書による相手の見極め
- 通信経路の暗号化による盗聴防止
1.について、以前は証明書が非常に高価だったため、不正なサイトがわざわざそのコスト、手間をかけることは考えづらいという考え方でしたが、現在は非常に安価な証明書やLets Encryptが登場し、この考え方は成り立たなくなりました。
2.について、これまた以前は相手の存在確認がある程度行われていましたが、DV証明書やLets Encryptoはこれらの機能をほぼ持っていないため、成り立たなくなりました。もちろんEV証明書であれば厳格に確認を実行されていますが、一般的に利用者がDV証明書を使っているかEV証明書を使っているか確認するとは考えづらいためです。
3.について、こちらは2.の相手の確認ありきだったため、いくら通信経路が暗号化されていても、不正なサイトと通信を行っては意味がないと考えられます。また、最近の不正な通信は検知を逃れるために暗号化を行うことが一般的になってきたため、エンドポイントセキュリティやSSL復号化に頼らざるを得ないのが現状です。※そしてその設備投資にコストがかかってしまう。。。
また、最近はブラウザベンダーが力を持っているような印象を受けます。Symantecの件もそうですが、ChomeがこのCAは信頼ならない!と判断して排除するなど、ブラウザベンダー様の言いなりになる傾向があるのもよくないかと考えています。
しかし、セキュリティを担保するうえでSSL/TLS化は必須であることに変わりはないため、求められているのはユーザのITリテラシーなのかもしれません。そもそも正常なサイトとよく似たドメインでサイトを立ち上げる所謂フィッシングサイトかどうかをCAが担保するべき範囲か?と言われるとそれは違うかなと思います。
やはりユーザによる見極めが必要な時代になってきたのかな~と思いました。