急速に広がる常時SSL、暗号アルゴリズムもさらに進化

 Webサイト全体でHTTPSを使用する「常時SSL」が、急速な勢いで広がりつつある。すでにGoogleやYahoo! Japan、Facebook、Wikipediaなど主要なWebサイトは常時SSLに対応済み。世界の主要企業のサイトも対応が進みつつある。

 その背景には、Webページの安全性や信頼性を確保したいという、社会全体が共有する強い要望がある。SSL化されていないサイトと個人情報をやり取りすれば、それが傍受されて盗まれる危険性がある。また最近ではマルウエア感染などを目的としたなりすましサイトも多くなっている。SSLで通信を暗号化すれば盗聴の危険性を回避でき、サーバー証明書によって運営組織が実在していることを証明できる。

 すでにGoogleは、2014年の「Google I/O」で常時SSL化を意味する「HTTPS Everywhere」を提唱。2015年には、SSLへの対応状況を検索結果順位の決定要因にするという発表を行っている。またAppleも「WWDC 2016」で「App Storeに公開するアプリは年内にATS(App Transport Security)が要求されるようになる」と発表。年末に、期限延期という追加発表がありはしたものの、アプリからの通信をSSL通信のみに制限する「ATSの有効化」が、App Storeへのアプリ登録の必須条件になる予定だ。

 その一方で、SSL通信に利用される暗号アルゴリズムも進化している。そのきっかけになったのが、2013年の「スノーデンショック」だ。従来のSSL通信で利用されていたRSA暗号は「秘密鍵が絶対に不正利用されない」という前提に基づいていたため、一度秘密鍵が流出してしまうと「過去に遡って」解読が可能であることが示されたのである。

 そこで最近では、一時的な鍵をセッションごとに生成する「前方秘匿性(Perfect Forward Secrecy:PFS)」の技術を活用し、過去に遡った解読を防止するサイトが増えている。なおPFSを使用する場合には、Ephemeral Diffie-Hellman(DHE)と呼ばれるアルゴリズムが使用される。DHEでは、複雑な算術演算を実行するため処理が低速になるが、ECC(Elliptic Curve Cryptography:楕円曲線暗号)という高速化手法を採り入れた暗号化方式ECDHEを採用するケースが多い。

 このような動きは今後さらに拡大し、あらゆるサイトが常時SSLとなる時代が到来することになるだろう。しかしこれによって、新たな問題が顕在化しつつある。

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。