ニュースサイトはHTTPSの暗号化をするべきだと思う
HTTPSで暗号化されていないニュースサイトの例をあげると、
・NHK NEWS WEB http://www3.nhk.or.jp/news/
(HTTPSでもアクセスはできるものの、設定が不適切)
・TBS NEWS http://news.tbs.co.jp/
・産経ニュース http://www.sankei.com/
・朝日新聞デジタル http://www.asahi.com/news/
・ライブドアニュース http://news.livedoor.com/
など、きりが無いほど出てきます。
(http:// で始まるURLのものです。)
逆に、次のようなニュースサイトはHTTPSで暗号化されています。
・Yahoo!ニュース https://news.yahoo.co.jp/
・Google ニュース https://news.google.com/
・msnニュース https://www.msn.com/ja-jp/news
(マイクロソフト社)
・gooニュース https://news.goo.ne.jp/
・Infoseekニュース https://news.infoseek.co.jp/
(楽天株式会社)
ニフティニュース https://news.nifty.com/
こちらは、IT系の企業が多いですね。
(https:// から始まるURLのものです。)
さて、HTTPSと、普通のHTTPとの違いは、
SSL/TLSという暗号化技術で、暗号化すると言うものですが、
暗号化以外にもHTTPSには大事な目的があります。
それは、「なりすまし」と「改ざん」の防止です。
SSL/TLSでは、第三者認証局から、あなたは「example.com」を所有している本人ですよ。という証明書を発行してもらいます。
これにより、アクセスしたサイトは、正しい所有者が運営していると言うことが確認できます。
(これはブラウザが勝手にやってくれていて、確認に失敗するとエラーを返します。)
しかし、HTTPSではないサイトでは、所有者確認ができず、アクセスしたサイトが、本物であるかどうかが確認できないため、ニュースサイトの中身を書き換えて、コピーサイトを作られていたとしても、ユーザーはそれに気づけない可能性が高いのです。
なので、企業が運営しているニュースサイトは、HTTPSを使用することにより、第三者による被害を防ぐ必要があると考えています。
中身が書き換えられたニュースサイトを放置している企業なんて誰が信用しますか?
こんなことが起ころうものなら大問題になりかねません。
今は、無料のSSL証明書発行サービスなんかもあるので、ぜひやって欲しいです。
あなたが見ているhttp://で始まるサイトは、URLは正しくても、中身は偽物かも?ということも疑ってみてください。
ここまで読んでいただきありがとうございました。
理想を言えば、全てのサイトが対応してくれればいいんですけど、現実的に考えると難しいでしょうね。
ご参考まで。。。。
--
https://www.cybertrust.ne.jp/sureserver/basics/ssl1.html
しかし、既存メディアが信じるに値しない現状では、httpsでも眉唾としておきたいですね。専門メールマガジンかないまは。
→この件、最近まで Googleと Symantecで揉めてました。ようやく話がまとまりそうですけどね。
※過去には comodoが CA Issuerとして不適格と言われたり、途中で CA Issuerの業務を突然停止してしまった事業者も海外では有りましたしね。
結局のところ証明書って「第三者が存在を証明している」にすぎないので、「その第三者が信頼できるのか?」という前提条件が揺らいだら証明書の意味って何?って話になります。
今後証明書取得についても無償で取得可能な Let's Encrypt Issueの証明書が幅を利かせてきた場合、第三による存在証明をどう確保するのか?、など、色々と考えなければならない事項は残っているといえますね。
なお、報道機関のニュースサイトが未だ SSL化されていない最大の理由は
●SHA-2非対応端末(特にモバイル端末)からのアクセスもページビューの対象としてカウントしたいから
だと個人的に推察します。そりゃあ端末制限でアクセス出来ないのではニュースサイトの意味がありませんからね。それが良いか悪いかは論じませんが、報道機関である以上、ある程度広範に情報を広める必要があると考えているんでしょう。
それが目的だとしたら、ただ単にY○hoo!ニュースとかに客が流れていきそうですけどね。
≫ひみつ77さん
ありがとうございます。基礎的な部分は一応勉強済みです。
≫となりのさん
早さだけを求めて、情報の出所をしっかりと確認せずに適当な記事を書いて給料貰ってる記者もいますからね。それがそのままY!ニューストップとか…恐ろしい
≫ばななめろんさん
DNS CAAを使えば、特定のCAが発行する証明書以外拒否することが、可能ということで、一応偽証明書は防げるようですが… DNS自体、100%正確なんて言うことはあり得ないのでなんともいえませんね。
https://rms-digicert.ne.jp/howto/basis/caa.html
個人的には、Symantecの証明書は信頼していないものの、使っているサーバーが多いため、仕方なく許可しています。
ウイルス対策ソフト(ノ○トン)といい、SSL証明書といい、昔からシマンテックは問題を起こしてるイメージでもうあきれるばかりです。(昔、某黄色いウイルス対策ソフトに、Windowsのシステムファイルを食われて痛い思いをしました。)
なんでみんな使い続けるのか、不思議で仕方ありません。
(mineoのマイページにSymantecの証明書している?そんな馬鹿な)
> 昔からシマンテックは問題を起こしてるイメージでもうあきれるばかりです。
> なんでみんな使い続けるのか、不思議で仕方ありません。
Symantec Productsはもともと解析がきつすぎるので、誤動作も結構発生するのは致し方ない、と思っています。とにかく「怪しきは罰する」的な.....(苦笑)。
そこ行くと他メーカーはどうなの?、と思いますけど、某トレンドさんとか某社さんふくめて「どこも似たり寄ったり」なので.....。
※結局セキュリティ系はアプライアンス内サンドボックスできちんと解析できる機器まで入れて、初めて一定の信頼性が確保できると思っています。
DNS CAA(というか DNSSecも含めますが)辺りはまだまだ日本国内だとおおっぴらに運用している情報を開示してる事例も少ないので色々と今後の試行錯誤が考えられますね。
最終的に DNSを含めて The Internetの技術が「バケツリレー方式」を原点にしてるようなもんですから、バケツリレーの根本なり経路間で何か有ったらそりゃあダメよね、って感じです(^^)。