機密性の高い通信を行わないドメインであっても、必ず HTTPS を使用してすべてのウェブサイトを保護する必要があります。HTTPS は、ウェブサイトとユーザーの個人情報の両方に対して重要なセキュリティとデータの整合性を提供するだけでなく、多くの新しいブラウザ機能(特に プログレッシブ ウェブアプリに必要な機能)に必要です。
HTTPS はウェブサイトの完全性を確保します
HTTPS は、侵入者がサイトとユーザーのブラウザ間の通信を改ざんするのを防ぎます。侵入者には、意図的に悪意のある攻撃者と、ページに広告を挿入する ISP など、正当な侵入者も含まれます。
侵入者は、保護されていない通信を悪用して、ユーザーをだまして機密情報を開示させたり、マルウェアをインストールさせたり、独自のリソースを挿入したりします。たとえば、一部のサードパーティは、ユーザー エクスペリエンスを損なう広告を挿入したり、セキュリティの脆弱性を生み出したりします。
侵入者は、ウェブサイトとユーザーの間で送信される保護されていないすべてのリソースを悪用します。画像、Cookie、スクリプト、HTML はすべて悪用される可能性があります。侵入は、ユーザーのマシン、Wi-Fi アクセス ポイント、侵害された ISP など、ネットワークの任意の場所で発生する可能性があります。HTTPS を使用すると、侵入者がサイトのリソースにアクセスしにくくなります。
HTTPS はユーザーのプライバシーとセキュリティを保護します
HTTPS は、侵入者がウェブサイトとユーザー間の通信を傍受するのを防ぎます。
HTTPS に関するよくある誤解の一つは、機密情報をやり取りするウェブサイトにのみ HTTPS が必要であるというものです。実際、保護されていない HTTP リクエストはすべて、ユーザーの動作や ID に関する情報を漏洩させる可能性があります。
保護されていないウェブサイトに 1 回アクセスしただけでは、悪意がないように思えますが、侵入者の中には、ユーザーの閲覧アクティビティの集計データを調べて、ユーザーの行動や意図を推測し、ユーザーの匿名性を解除する者もいます。たとえば、従業員が保護されていない医療記事を読んで、機密性の高い健康状態を誤って雇用主に開示してしまう可能性があります。
HTTPS はウェブの未来
getUserMedia() による写真の撮影や音声の録音、サービス ワーカーによるオフライン アプリ エクスペリエンスの有効化、プログレッシブ ウェブアプリの構築など、強力な新しいウェブ プラットフォーム機能を使用するには、HTTPS 経由でユーザーからの明示的な権限が必要です。古い API の多くも更新され、Geolocation API など、実行に権限が必要になっています。HTTPS は、新機能と更新された機能の両方の権限ワークフローの重要なコンポーネントです。