機密性が高い通信を扱う必要がないウェブサイトであっても、常に HTTPS を使用してすべてのウェブサイトを保護してください。HTTPS は、ウェブサイトとユーザーの個人情報の両方に重要なセキュリティとデータの整合性を提供するだけでなく、多くの新しいブラウザ機能、特にプログレッシブ ウェブアプリに必要な機能に必須です。
HTTPS でウェブサイトの完全性を保護
HTTPS は、サイトとユーザーのブラウザ間の通信を侵入者が改ざんするのを防ぐのに役立ちます。侵入者には、意図的な悪意のある攻撃者と、ページに広告を挿入する ISP などの正当なが侵害的な企業の両方が含まれます。
侵入者は保護されていない通信を悪用して、ユーザーをだまして機密情報を開示させたり、マルウェアをインストールさせたり、独自のリソースを挿入させたりします。たとえば、一部のサードパーティは、ユーザー エクスペリエンスを損なったり、セキュリティの脆弱性をもたらす可能性がある広告を挿入しています。
侵入者は、ウェブサイトとユーザーの間を移動する保護されていないすべてのリソースを悪用します。画像、Cookie、スクリプト、HTML は すべて悪用可能です侵入は、ユーザーのマシン、Wi-Fi アクセス ポイント、侵害された ISP など、ネットワーク内の任意の場所で発生する可能性があります。HTTPS を使用すると、侵入者がサイトのリソースにアクセスするのが難しくなります。
HTTPS でユーザーのプライバシーとセキュリティを保護
HTTPS は、侵入者がウェブサイトとユーザー間の通信を受動的に聞くことを防ぎます。
HTTPS に関するよくある誤解は、HTTPS を必要とするウェブサイトは機密性の高い通信を処理するウェブサイトだけである、というものです。実際、保護されていない HTTP リクエストごとに、ユーザーの行動や ID に関する情報が漏洩する可能性があります。
保護されていないウェブサイトへの 1 回の訪問は無害に思えるかもしれませんが、侵入者はユーザーの集計閲覧アクティビティを確認して行動や意図を推測し、自身の身元を匿名化します。たとえば、従業員が保護されていない医療記事を読んだだけで、機密性の高い健康状態を誤って雇用主に開示してしまう可能性があります。
HTTPS はウェブの未来
getUserMedia()
による写真の撮影や音声の記録、Service Worker でのオフライン アプリ エクスペリエンスの有効化、プログレッシブ ウェブアプリの構築など、ウェブ プラットフォームの強力な新機能を使用するには、HTTPS を介したユーザーからの明示的な許可が必要です。Geolocation API など、多くの古い API も実行権限を必要とするように更新されています。HTTPS は、新機能と更新された機能のどちらでも、権限のワークフローの重要な要素です。