米国政府やWikipediaはすべてのWebサイトをHTTPS化へ。
Webサイト所有者はそれに倣うべきか
トレンドマイクロ セキュリティブログ
個人的には大賛成です。当サイトも常時SSL(HTTPS)
当初は必要なページのみHTTPSを考えてましたが、個別に制御するのが面倒だったり、一部ブラウザでHTTPS→HTTPのリダイレクト時に警告が出ることがあったり(現在はほとんど無問題)と、いろいろ問題があります
すべてHTTPSにした方が管理の手間もなくなるのでおすすめですね
といっても既存サイトでは掛かるコスト(特にテスト)が大きいので、新規立ち上げのサイトでないと難しいかもしれません
当サイトはRapidSSL
ちなみに当サイトの証明書は エンジョイSSLダイレクト という代理店で購入しました
購入時は\1300/年ほどでしたが、現在では倍くらいの価格になってしまってますね。円安って…
高い信用度が要求されるサイトではベリサイン等の有名ベンダのものがよいですが、
当サイト規模であればRapidSSL等の廉価証明書で良いだろうと
あまり進んでいない常時SSL
とはいえやはりすぐに常時SSLに移行することは難しいようです
冒頭の記事にもありましたが、Mozillaのいう 一部の新機能はHTTPSのみで有効 あたりの機能が主流になってくれば常時SSLも加速しそう(たぶん)
2件のコメント
#01
megane
明日、閏秒なにもなければよいが…
#02
管理人
閏秒ですか。全然知りませんでした
システム関係だと時間の同期がクリティカルな案件でもない限り特に影響なさそう
当サイトはアルゴリズムがSHA-1という脆弱性持ち証明書を使ってます
普通の業者であれば無料でSHA-2に移行できるんですが、あまりにも激安な業者だったので対応してくれないようです
SSL Server Test というテストではランクA(A+が最高)。やっぱりSHA-1が足を引っ張ってます