サーバー証明書の動向
東 久貴
HTTP/2等、Webマーケティングにも影響を与えるサーバー証明書
ここ数年、サーバー証明書の動向から目が離せません。
サーバー証明書は、誰がWebサイトを運営しているかという「認証」と、通信の「暗号化」のために使われるセキュリティ商品です。
Google、Microsoft、Mozillaのようなブラウザ・ベンダーは、サーバー証明書をネットの世界に普及させるために、様々な施策を続々とブラウザに取り入れています。
例えばGoogleは、「HTTPS Everywhere」を公のスローガンに掲げています。HTTPSとは、証明書を用いた暗号化通信を意味しますので、つまりGoogleは、全てのネット上の通信(Everywhere)では、証明書が使われることを目標としています。
ここまでブラウザ・ベンダーが力を入れる理由は、サイバー脅威が深刻だからです。本物に成りすましたフィッシング・サイト(偽サイト)の脅威は高まるばかりです。また、証明書で使われる技術やソフトウェアにも欠陥(脆弱性)が相次いで発見されているような状況でして、脆弱性の種類によっては、暗号化通信が解読されてしまうものもあります。
ですから、ブラウザ・ベンダーは、安全性の観点で色々な種類がある証明書のなかでも、より安全な証明書の普及を促しています。一例として、破られやすい暗号を用いたサーバー証明書はブラウザ上で使用させないとか、安全でない旨を示す警告を表示させるといった取り組みが行われています。
さて、ここからは冒頭に紹介差し上げた「HTTPS Everywhere」のうち、Webマーケティングにも関係するGoogleの取組みを紹介します。
Webサイトの運営者は、自身のサイトがブラウザの検索結果で少しでも上位に表示されるために、SEO等でご苦労をされていることと想像します。
この点、Googleは2014年より、Chrome上で表示する順位の判定要素として、サーバー証明書が使われているか否かを取り入れています。証明書が使われていれば、優位に判定されるのです。今のところは証明書の使用有無が判定に与える影響は少ないですが、「HTTPS Everywhere」を受けての施策ということを踏まえると、今後は高まるものと筆者は考えています。また、今のところは証明書であれば一律の加点評価となりますが、今後は、より安全な証明書の方が優遇されることもGoogleは構想として挙げています。
このSEOの例からしても、Googleの「HTTPS Everywhere」への意気込みがおかわり頂けるのではないでしょうか。
さらに、本稿の残りの紙幅では、もう一つWebマーケティングに関係する技術として、HTTP/2を紹介します。
結論から先に申し上げますと、HTTP/2により、Webサイトが劇的に早くサクサクと表示されるようになるのですが、ここでも証明書の使用が必要となるのです。
これまでのHTTPのバージョンは1.1ですが、昨年16年ぶりに改訂され、2.0が誕生しました。1.1からの改良点は幾つかあるのですが、大きくは、通信の効率化と筆者は捉えています。16年の間にWebコンテンツはリッチになり、データ量が増えているわけですから、より効率的なデータ送受信が求められていました。
では、どのように効率化が実現したのか。本稿では平たく説明させて頂くことをご容赦頂きたいのですが、下図をご覧ください。
1.1では、Webサイトのデータ(例えば画像)は、一つひとつ処理されています。一つの「受け取りたい」というリクエストに対し、サーバーはその一つを返す。この送受信が完了したら、次のデータの処理へ進むという具合です。
対して2.0では、多重処理が実現します。ある程度まとめてリスクエストをして、まとめて返すということです。
この多重処理により、どの程度の効率化がされるのでしょうか。こちらを体感頂くためには、筆者が勤めるサイバートラスト株式会社が提供するデモ(https://www.cybertrust.ne.jp/journal/knowledge03.html)をご覧頂ければと思います。
また、ご覧頂く際の注意点でもあるのですが、HTTP/2の通信を実現するためには、ブラウザとサーバーの両方がHTTP/2に対応している必要があります。Chromeであればバージョン40から、Internet ExplorerはWindows 10上の11から、Firefoxは34からです。また、Microsoft Edgeも対応しています。
デモ上では、1.1と比べて2倍3倍と速くページが描画されているのがご覧頂けるかと思います。
Webサイトの運営者にとりまして、サイト訪問者の離脱率は重要な課題として取り組まれていると思慮します。その意味では、ページが快適に表示されることが肝要です。ですから、HTTP/2へ期待される思いはよくわかります。
しかし、ここで大事なアドバイスです。
HTTP/2の規格上は、証明書の使用は必須ではありません。しかし、ブラウザ独自の仕様により、HTTP/2を実現するためには、Webサイトではサーバー証明書を使用しなければならないのです。Chrome、Internet Explorer、Edge、Firefoxのいずれも証明書を必須としています。
「HTTPS Everywhere」のGoogleしかり、ブラウザ・ベンダーによるサーバー証明書の普及へのコミットメントを感じて頂けたのではないでしょうか。
東 久貴
2000年頃より、PKI技術を中心としたICTシステムの認証/暗号等セキュリティシステム提案~実装に携わってまいりました。現在は、サイバートラストの技術本部長として20名のエンジニアを率いており、市場を見据えた次世代認証局やコンテキスト認証、IoT分野向けセキュリティサービスなど、新技術開発をリードしております。