グーグルの発表で企業にも広がるHTTPS化の動き

　2016年9月、グーグルは検索結果の順位判定にサイトがHTTPSに対応しているかどうかを考慮すると発表した。これには多くのWebサービス会社、ホスティングサービスプロバイダが反応した。あわてて自社WebサイトのHTTPS化対応を進めたところも少なくない。

　WebサイトをHTTPS化するには、しかるべき認証局からサーバー証明書を発行してもらう必要がある。そのため、レンタルサーバー事業者は契約者向けのHTTPS化メニューを用意したり、中小企業向けの安価な証明書を発行する事業者が現れたりしている。

　サイト管理者にとっては、単に証明書を取得してURLを「https://」にするだけではなく、サイトの中身もhttps://対応させるための改修が必要となる。

「HTTPS化」を必須にする取り組みの歴史

　HTTP通信をよりセキュアなものにするため、Webサイト全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きは、2012年のHTTP/2策定開始のころからあった。HTTP/2は、その当時はHTTP 2.0と呼ばれ、文字通りHTTP 1.1の改訂作業として始まったものだ。

　HTTPプロトコルの改訂作業なので、セッションの多重化やリクエスト・レスポンスのパイプライン化など、機能改善が議論されていたが、セキュリティ向上のため通信のデフォルトをSSL通信（もしくは相当の暗号化技術による通信）にしようというアイデアも出された。

　HTTP/2は2015年に正式なRFCとして文書化されており、TLSv1.2による暗号化通信が規定されている。

　HTTP/2の議論を行っている間も、複雑、高度化するサイバー攻撃に対応するため、セキュアな暗号化通信に関する関心やニーズは高まっていた。グーグル、ツイッター、フェイスブック、ヤフーといったトラフィックを集める大手サイトがけん引する形で、HTTPS通信をデフォルト化する動きが進んでいった。

　これらの企業はいち早くサイト全体をHTTPS化し、URLを「https://」に変更していった。現在のHTTPS化の動きは、じつはHTTP/2のRFCが文書化されたので暗号化に対応しようという理由より、高まるセキュリティニーズに対応するためや大手プラットフォーマ―の動きに追従する形で広がっている。

【次ページ】全ページHTTPS化は企業のセキュリティ意識の高さを示す