2015年12月21日 13:23
ネットワークベンダーから見たセキュリティの問題点 (1) WebサーバにSSL処理を任せてはいけない理由
つまり、WebサーバでSSLを処理することは、不経済な選択ということになるのです。
○WebサーバでのSSL処理は運用面でも不経済
WebサーバによるSSL処理の不経済性は、パフォーマンスの低下だけではありません。
SSL処理を行うにはSSL証明書の実装も必要です。証明書をただ"置く"だけではなく、有効期限も適切に管理した上で、必要に応じて更新するという作業も必要になります。これを多くのWebサーバで行うには、大きな運用負担となり、規模が増大するほど、負担も累積的に増大します。これに加えて、システムに実装する暗号鍵の数が増えれば増えるほど、管理上のセキュリティ確保にも負担がかかります。
1台のサーバで複数のドメインを運用する「バーチャルホスト」では、原則としてSSLが使えないことにも注意が必要です。SSLではHTTPヘッダが暗号化されているため、「クライアントがどのホスト名を要求しているのか」を判断できません。
この問題の解決策としては、SSL/TLSの拡張仕様の1つであるSNI(Server Name Indication)を活用する方法があり、バーチャルサーバでもSSLが使えるようになります。