ウェブ上で暗号化を使用しているウェブサイトはごくわずかです。Cloudflareによると、HTTPS/SSL暗号化を使用しているウェブサイトはわずか200万件ですが、本日から同社の新しい無料SSLサービス「Universal SSL」のおかげで、その数は倍増します。
Cloudflareは昨年秋、全会員に無料のSSL暗号化を提供するための取り組みを進めていると発表しました。本日、そのサービスが開始されます。
この暗号化サービスには様々なレベルがあります。既にCloudflareのSSL暗号化をご利用の有料会員のお客様には、すべてのドメインとサブドメインにSSL証明書が自動的に提供されます。
これまで SSL 暗号化を使用していなかったメンバー (無料プランのユーザーなど) の場合、Cloudflare は「フレキシブル SSL」モードを有効にします。つまり、サイトのユーザーから Cloudflare のサーバーへのトラフィックのみが暗号化され、Cloudflare からサイトのオリジンへのトラフィックは暗号化されません。
これは理想的なシナリオではありません。例えば、ハッカーや悪意のある国家関係者は、Cloudflareからサイトのオリジンへのトラフィックが平文で送信されている場合、そのトラフィックを盗聴する可能性があります。しかしながら、フレキシブルSSLモードは、インターネットカフェや抑圧的な国から接続する場合など、リスクの高い環境でSSLを使用するユーザーにとって、より安全な環境を提供します。
Cloudflare はサイト所有者に自己署名証明書の使用も許可します。その場合、サイトは Cloudflare からサイトの配信元に至るまで完全に保護されます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Cloudflareが無料会員全員に自己署名証明書の使用を求めた方がおそらく良いでしょうが、会員に多大な不便をかけることになるため、そうはしなかった可能性が高いでしょう。Cloudflareはここで判断を下し、一部の会員だけがウェブサイトを完全に暗号化するよりも、無料会員のほとんどが「半分しか暗号化しない」方が良いと判断したようです。
Cloudflareの無料のフレキシブルSSLモードを使用するメリットは他にもあります。Googleの新しいHTTPSランキングポリシーにカウントされるということです。そのため、フレキシブルSSLモードを使用しているサイト所有者は、Googleの検索エンジンで若干の優位性を獲得できるはずです。
このオプションは、機密性の高いユーザー情報を使用しないウェブサイトにのみ使用してください。機密情報を扱うウェブサイトでは、「Full SSL」または「Full SSL Strict」モードを使用する必要があります。(後者では、証明書が証明機関によって署名され、有効期限が設定されている必要があります。)
Cloudflareは、従来のRSAベースの暗号スイートと比較して、サーバーのパフォーマンスオーバーヘッドがはるかに小さいECDSA暗号スイートを使用します。また、「Perfect Forward Secrecy」機能も備えており、Cloudflareは鍵をより頻繁に変更できるため、悪意のあるハッカーが何らかの方法で鍵を入手したとしても、過去の通信をすべて解読することはできません。
ECDSA暗号スイートには小さな問題が1つあります。すべてのブラウザでサポートされているわけではないため、Cloudflareは古いブラウザにはRSAベースの暗号スイートを使用します。ただし、6年未満のブラウザ(Windows XPのInternet ExplorerやAndroid 4.0より前のブラウザよりも新しいもの)をお使いの場合は、ECDSA暗号スイートをサポートしているはずです。そうでない場合は、CloudflareのUniversal SSLサービスを使用しているウェブサイトの上部に、より新しいブラウザにアップデートできるというメッセージが表示されます。
Cloudflare の Universal SSL サービスでは、全ユーザーに対して SPDY 接続も有効になり、より高速な次世代 HTTPS 2.0 プロトコル (Google の SPDY に基づく) も大きく促進されます。
Cloudflareは本日、HTTPS暗号化を採用しているサイト数を一挙に倍増させるという素晴らしい取り組みを行いました。この数字は、100%完全に暗号化されたウェブには程遠いかもしれませんが、目標達成に向けてまた一歩前進したと言えるでしょう。目標達成は日に日に現実味を帯びてきています。
より容易かつ安全な通信を実現する、より現代的な新しい暗号化プロトコルは、今後数年間で大きな助けとなるでしょう。しかし、結局のところ、数十億人もの人々に比較的短期間でそのような暗号化を導入してもらうのは非常に困難でしょう。大手インターネットサービスプロバイダーは、そのプロセスを加速させ、ユーザーにとってよりスムーズな環境づくりに貢献することができます。これは、本日Cloudflareが実証した通りです。
Kevin Parrishを@exfilemeでフォローしてください。 @tomshardware 、 Facebook 、 Google+でフォローしてください。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
