• ベストアンサー

なぜ初めからSSLにしないのでしょうか?

はじめまして。よろしくお願いします。 Yahoo!Japanのログインページは通常は標準(http)状態になっていますが、SSLの方が安全だからとワンクリックでSSL(https)への切り替えができるようになっています。 SSLの方が安全なのであれば、最初からSSLにしておけばいいのではないかと思うのです。ヤフー以外のサイトでも切り替えをできるようにしているサイトがありますが、どこも標準状態はSSLではありませんでした。 どうして、最初からSSLの状態にしておかないのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • subarun
  • ベストアンサー率23% (13/55)
回答No.4

私も質問者の方と同じ疑問を持っていました。 SSLで最も負荷がかかるのが、公開鍵暗号を用いるハンドシェイクの部分です。 これは、ログイン頁から暗号化しても、認証頁から暗号化しても必要な処理で負荷は変わりません。 セッションは、共有秘密鍵(セッションキー)を用いて暗号化されますので、ハンドシェイクに比べたら負荷はかなり低いです。それでも、平文に比べれば負荷はかかりますが・・・。 なので、ログイン頁から暗号化しても、認証頁から暗号化しても、『SSLは負荷がものすごくかかる』ということから言えば大差ありません。 さらに言うと、ログイン頁自体をSSL化しなくても、 認証だけをSSL化すれば、ログイン頁、認証頁をセッションキーで暗号化する必要もないので、セッション暗号化による負荷はむしろ低減されるはずです。 というわけで、以上のことを踏まえての私の推論は以下のとおりです。 『利用者の安全よりも(意識の低いユーザには、SSLのハンドシェイクを行わせないことで)サーバの負荷を低減するために、デフォルトがHTTPなのではないだろうか。』

yuki-kigune
質問者

お礼

『Yahoo! JAPANでは、標準(http)モードでログインする際にも、パスワード部分は暗号化した通信を行うことで、安全性の確保に努めています。』 とヤフーのヘルプに書いてありましたが、これが「認証だけSSL化」にあたるのでしょうか。 とにもかくにも、まとめ推論ありがとうございます。 #1の方の未対応ブラウザのことを考えてということも踏まえて、 表向きは 「未対応ブラウザがあるから」 で実際は 「サーバーの増強にはお金がかかるので、すこしでもサーバーの負荷を低減するための措置」 ということなのでしょう。 ヤフーは1日10億ページビューあるそうです。確かに、「サーバの負荷低減」は大変な課題なのかもしれないですね。 今回の質問に答えてくださった皆様。大変勉強になりましたありがとうございましたm(_ _)m

すると、全ての回答が全文表示されます。

その他の回答 (3)

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.3

こんばんは #2 の方が指摘されていますが、 SSL は通信をClient とServer が通信を行うための予備動作が、 通常のHTTP よりも多く、Server に多大な負荷をかけます。 もちろん、通信データの暗号化・復号化の処理も、 Server に高い負荷をかけてしまいます。 TOP ページは不特定多数の人が訪れる為、 訪問者全員に暗号化処理を行い、Server への負荷をかけることと、 ログインしたい特定の人だけとSSL セッションの確立を行う、 どちらが良いのかを考えると、確実に後者ですよね? 負荷がかかると言うことは、Server を利用した通信の応答が遅くなったり、 通信ができなくなったりしてしまうため、 無駄なところで暗号化されて応答が悪くなる事は、 利用者も望まないと思います。 どれほどのパフォーマンスの差があるかは、 以下のページが参考になると思います。 http://www.keyman.or.jp/search/30000073_2.html 商用サイトの多くでは、SSL アクセラレータと言うネットワーク機器を利用し、 SSL 処理の高速化を図っていますが、 訪問者全てをSSL で許容できるほどのスペックには至りませんし、 無駄なところにコストをかけるわけにはいかないのが実際のところです。

参考URL:
http://www.keyman.or.jp/search/30000073_2.html
yuki-kigune
質問者

お礼

gooが駅に広告を出したころ、質問するのも答えるも非常に通信の応答が遅く、なかなかサイトの表示がされませんでした。あれは、利用者が増えサーバーに負荷がかかっていたからだそうです。 あんな状態になるのを防ぐ目的もあるということですね。 gooのログインページはSSLではありませんが、今でも少し応答が遅い気がするのにSSLにしたら、恐ろしいことになりますね…。 参考URLのサイトはためになりました。#2の方の「SSLは10倍の通信量」というのが決して大げさでない(というかもっと)ということが分かりましたm(_ _)m

すると、全ての回答が全文表示されます。
  • piyotty
  • ベストアンサー率44% (62/138)
回答No.2

SSLは暗号化通信であるため、通常の接続(httpプロトコルによる接続)に比べ、10倍程度のデータ量をやりとりする必要があります。 実際に暗号化する必要があるのは、認証情報だけであり、ログインページを表示するために必要な情報まで暗号化するのは、運営者にとってもユーザーにとっても無駄な通信と費用がかかるからではないでしょうか。 一度、ログインページを表示してしまえば、SSL対応に切り替えても、表示のほとんどをキャッシュで補うことができ、通信量を節約することができるからかもしれません。

yuki-kigune
質問者

お礼

SSLでは、通常の10倍ものデータ量のやりとりがあるのですか!? びっくりです。 確かに暗号化しているので、それなりの情報量を必要としそうな感じはしていましたが…。 参考になりました、ありがとうございます。

すると、全ての回答が全文表示されます。
  • earthlight
  • ベストアンサー率27% (284/1031)
回答No.1

IE3.0(Mac版とWindows3.1版)、IE2.0、Netscape Navigator1.xなど、非対応の古いブラウザがあるのでそれらのことを考慮しているのでしょう。

yuki-kigune
質問者

お礼

確かにSSL未対応ブラウザはあるようです。しかし、大多数の人が、SSL対応ブラウザであると思われるわけで…。あっ、最初からSSLだと未対応ブラウザの方は切り替えをするためのログインページに行くことすらできませんね(汗) すばやいご回答ありがとうございました。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する