Netcraft、0.09%のWebサイトしか使っていないセキュリティ機能の活用を推奨

インターネットサービス企業のNetcraftは3月30日(英国時間)、「HTTP Public Key Pinning: You’re doing it wrong!｜Netcraft」において、HTTP Public Key Pinning (HPKP)がセキュアなWebサーバの運用に重要な役割を果たすにもかかわらず、同社が検知しているWebサーバのうち同機能を活用しているWebサーバが全体の0.09%ほどでしかないこと、さらにその中でも適切にHPKPヘッダを使っているものは3分の2に過ぎないとし、3000に満たないWebサイトのみが適切にHPKPをつかっていると指摘した。

HTTP Public Key Pinning (HPKP)は既存のセキュアなサイトの振りをするために不正に発行されたTLS証明書の利用を防ぐために利用される機能。不正に発行された証明書の利用を検出してこれを回避するにはHTTP Public Key Pinning (HPKP)の利用が効果的だとされているが、ほとんど使われていない上に、さらに使われている場合でも3分の1は間違った設定のまま運用していると報告されている。

Netcraftは以前も同じようにHTTP Public Key Pinning (HPKP)がセキュアなサーバを運用するにあたって重要な機能であること、その適用はそれほど難しくないことなどを報告する記事を掲載している。「HTTP Public Key Pinning: You’re doing it wrong!｜Netcraft」ではさらにどのような設定に問題があるかを詳しく解説し、HTTP Public Key Pinning (HPKP)に関する興味を喚起している。