QA@IT

SSL領域においてコンテンツごとにhttpアクセスとhttpsアクセスを分けるべき?

32868 PV

はじめまして。
Webコンサルをやっているお客様から依頼されてWebサイトを開発しております。
このたび、コンテンツごとにhttpアクセスとhttpsアクセスに分けることの意味・必要性を
教えていただきたく質問させていただきます。

開発環境は次のようになっております。

OS:開発環境:Windows 本番環境:Linux
Webサーバ:Apache
言語:PHP(with Smarty)
DB:MySQL

本番環境はLAMPのレンタルサーバで、この環境構築およびSSLの取得・適用はすべて
お客様によって行われてます。

SSLはドキュメントルート以下全体に適用されており、
すべてのコンテンツはhttpsアクセスで動いております。

先ごろお客様より、「個人情報などが絡むページはhttpsアクセスで良いが、それ以外の
動的ページ、静的HTMLでのページはhttpアクセスで行いたい」と打診がありました。

おそらく遷移先のコンテンツごとにhttpとhttpsを切り替えろということだと思うのですが、
こちらとしてはなんとなく面倒なので断る方向性に持っていきたいです。

そこでお教えいただきたいのですが、一般的にSSL通信である必要のないコンテンツには、
httpアクセスになるようにすべきでしょうか?また、その意味を教えていただけますでしょうか?
よろしくお願いいたします。

  • 「Webコンサルをやっているお客様」なら SSL 化のメリットや、常時 SSL 化という時代の流れは十分ご存知ですよね? そういう人が不要と言っているであれば、ここで事情を知らない第三者からのインプットで、「断る方向」に持っているための説得力のある理屈・理由は付けられないと思うのですが。 -
  • コメントありがとうございます。
    今日お客様よりあ、だったら全部httpsで良いっすよ」という回答をもらいました。
    単純にこちらサイドが勝手に悩んでいただけみたいです。
    お騒がせしました。
    -

回答

ページ単位で、httpだったりhttpsだったりするのはいいと思います。
ログインがからむ場合は、ログインがカラムすべてのページをhttpsにします。

間違えて同一ページにhttpとhttpsが混在すると、ブラウザが「暗号化した情報としていない情報が混在しています」のような警告ダイアログを出すので、ユーザーに対して不親切ですね。そうならないように注意してください。

編集 履歴 (0)
  • otn様 ご回答いただきありがとうございます。
    httpとhttpsの混在がOKであるのは理解しているのですが、わざわざ分けるる必要があるのか?という思いがあります。全部httpsでアクセスするように作るのは問題ありますでしょうか?よろしくお願いします。
    -
  • そのセキュリティコンサルが、なぜそうしたいのか、を確認しないと何ともという感じですね…
    適切か不適切かも判断できない。
    普通はリソース節約くらいしかメリットないと思いますけどね。
    それよりhttpsでアクセスしてたはずなのにページによって勝手にhttpにされてるなんて方がやめてほしいですけどね。
    -
  • なぜなら、一度httpsじゃ無くなった時点で、もうそこからの遷移は安全である保証がなくなってしまうためです。
    利用者としては、そんなこといちいち気にしたくないのが普通です。
    httpだと認証状態も安全に管理できないですし。
    まあサイトの重要度にはよりますけどね。
    -
  • コメントいただきありがとうございます。
    今日確認しましたところ、「あ、なら全部httpsで良いっすよ」という回答を得ました。これといった理由や、「ただなんとなく」といったレベルのポリシーさえなく、思いつきだったようです。振り回されて真剣に考えた私が愚か者でした。
    お騒がせいたしました。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。