HttpWatch is an HTTP viewer and debugger that integrates with IE and Firefox to provide seamless HTTP and HTTPS monitoring without leaving the browser window.

ブラウザの通信内容を解析してグラフィカルに操作できるようにするアドオンHttpWatchのブログに、HTTPSにまつわる7つのよく誤解される内容が掲載されている。HTTPSに関する説明として参考になる。紹介されている誤解は次のとおり。

1. ログインページにだけHTTPSが必要

Firesheepの登場で注目されるようになったように、ログインページにだけHTTPSを使っている場合、パブリックWifiなどを使う場合にHTTPセッションハイジャックを受ける可能性がある。ログインページにだけHTTPSを採用すればいいというものではない。

2. HTTPSを使っていてもクッキーやクエリでさまざまなことが実施できる

HTTPSを使うことで中間者による通信データの取得はできなくなるが、かならずしも安全になるとは限らない。Webサービスによってはすぐに推測できるセッションIDを使っているものなどもあり、HTTPSを使っているとしてもさまざまな方法を駆使されると閲覧を許してしまうことがある。

3. HTTPSはとても遅い

チューニングすることでHTTPS通信によるオーバーヘッドを少なくすることができる。たしかに最初の接続時には仕組み上HTTPよりもオーバーヘッドが発生するが、それでもそのオーバーヘッドは小さく、さらに2回目以降のアクセスでは高速化されるので気にならなくなる。

4. 新しいSSL証明書はサーバの移行時や同時に複数のサーバを実行している時に購入する必要がある

SSL証明書の購入手順は次のようになっている。

  1. 証明書署名要求(CSR)を作成
  2. CSRを使ってSSL証明書を購入開始
  3. CSRプロセスを完了させSSL証明書のインストールを完了させる

こうした手順が採用されているのは、メールやダウンロードでSSL証明書を提供した場合に中間者によってSSL証明書を取得されてしまうのを防ぐため。もしSSL証明書を他のサーバで使いたいのであれば、一旦証明書を他のデータ形式にエクスポートして移動させる必要がある。

5. HTTPSサイトはそれぞれに別のIPアドレスが必要

1つのSSL証明書は1つのIPアドレスに適用できる。ただし、ワイルドカードSSL証明書であれば必要なだけサブドメインを1つのIPアドレスに適用できる。ワイルドカードSSL証明書の年間費用はたとえば125米ドルほど。

6. SSL証明書は高価

SSL証明書は年間10米ドルほどで購入できる。無償で入手する方法もある。

7. HTTPSはキャッシュされない

HTTPSを経由したコンテンツはキャッシュしないで欲しいと要求するユーザもいるが、実際にはHTTPSコンテンツはキャッシュされる。動作はブラウザやバージョンごとに違っているが、レスポンスヘッダに従って動作するようになっている。