機密性の高い通信を行わないドメインであっても、必ず HTTPS を使用してすべてのウェブサイトを保護する必要があります。HTTPS は、ウェブサイトとユーザーの個人情報の両方に対して重要なセキュリティとデータの整合性を保つだけでなく、多くの新しいブラウザ機能(特にプログレッシブ ウェブアプリに必要な機能)に必要です。
HTTPS はウェブサイトの完全性を保護します
HTTPS は、侵入者がサイトとユーザーのブラウザ間の通信を改ざんするのを防ぎます。侵入者には、意図的に悪意のある攻撃者と、ページに広告を挿入する ISP などの正当な企業が含まれます。
侵入者は、保護されていない通信を悪用して、ユーザーをだまして機密情報を盗んだり、マルウェアをインストールさせたり、独自のリソースを挿入したりします。たとえば、一部の第三者は、ユーザー エクスペリエンスを損ない、セキュリティの脆弱性を生み出す可能性のある広告を挿入します。
侵入者は、ウェブサイトとユーザーの間を移動する保護されていないすべてのリソースを悪用します。画像、Cookie、スクリプト、HTML はすべて悪用される可能性があります。侵入は、ユーザーのパソコン、Wi-Fi アクセス ポイント、侵害された ISP など、ネットワーク内のあらゆる場所で発生する可能性があります。HTTPS を使用すると、侵入者がサイトのリソースにアクセスしにくくなります。
HTTPS はユーザーのプライバシーとセキュリティを保護します
HTTPS は、侵入者がウェブサイトとユーザー間の通信を傍受するのを防ぎます。
HTTPS についてよくある誤解の一つに、HTTPS が必要なのは機密性の高い通信を扱うウェブサイトだけだというものがあります。保護されていない HTTP リクエストは、ユーザーの行動や身元に関する情報を漏洩させる可能性があります。
保護されていないウェブサイトへの 1 回のアクセスは無害に見えるかもしれませんが、一部の侵入者はユーザーの閲覧アクティビティの集計を調べて、ユーザーの行動や意図を推測し、ユーザーの身元を匿名解除しようとします。たとえば、保護されていない医療記事を読んだだけで、従業員が機密性の高い健康状態を誤って雇用主に開示してしまう可能性があります。
HTTPS はウェブの未来
getUserMedia() を使用した写真撮影や音声録音、サービス ワーカーによるオフライン アプリ エクスペリエンスの有効化、プログレッシブ ウェブアプリの構築など、強力な新しいウェブ プラットフォーム機能を使用するには、HTTPS を介してユーザーから明示的な権限を取得する必要があります。また、Geolocation API など、実行に権限を必要とするように更新される古い API も多くあります。HTTPS は、新機能と更新された機能の両方の権限ワークフローの重要なコンポーネントです。