セキュリティの現場から from バラクーダラボ (194) Googleの「HTTPS Everywhere」がWebアプリケーションセキュリティに与える影響

たとえば、HTTP Strict Transport Security（HSTS）ポリシーとクリックジャック攻撃回避に使用する応答ヘッダのインジェクション、CSRF攻撃向けのランダムトークンのインジェクション、Cookieの暗号化などがあります。

脆弱なSSLスタックのセキュリティ強化：往々にして、古いWebサーバは最新のSSL拡張機能をサポートしません。また、古いSSLスタックには脆弱性が無数に存在する可能性があります。マルチベンダサーバでSSLをアップグレードする作業は時間がかかり、それだけ脅威にさらされる危険性も高くなります。詳細については、こちらをご覧ください。

アプリケーションデリバリにかかる時間を短縮：セキュリティだけでなく、アプリケーションデリバリ機能でもアプリケーションプロキシのSSLオフロードが効果を発揮します。たとえば、コンテンツのキャッシングと圧縮では、キャッシングや圧縮の前にプロキシがHTTPS内部をチェックする必要があります。保護サーバの負荷軽減：HTTPSでは、特に2048ビット鍵を使用する場合、これまでよりも高い処理能力が必要とされます。ハードウェア仕様が不十分な古いサーバの場合、HTTPでは問題がなくても、HTTPSの負荷に対応しきれないケースがあります。