1. HTTP/2、ATS(App Transport Security)登場! セキュア通信への理解と実践が求められる時代へ

HTTP/2、ATS(App Transport Security)登場! セキュア通信への理解と実践が求められる時代へ

  • このエントリーをはてなブックマークに追加

2015年2月17日に正式な仕様として承認されたHTTP/2。1999年にHTTP 1.1が規定されて以来、14年ぶりの改訂となりました。そして、先日登場したiOS9にはATS(App Transport Security)が実装され、モバイル機器の世界でも、セキュアな通信への移行がますます加速していきます。Webサービス、PC、モバイルなどで世界が繋がる時代、言い換えれば、セキュアな通信により通信内容が守られなければならない時代、様々な技術は世界をどう変えていくのでしょうか?

HTTP/2とは?

Googleは、2009年11月11日にSPDY/1というプロトコルを発表しました。SPDYは、HTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのWeb表示を高速化するという目的で開発され、SPDYとしては3.1までのバージョンが開発されています。

HTTP/2は、そのSPDYの人気を受けて開発されたプロトコルです。HTTP/2ではHPACKというヘッダサイズ圧縮の仕組み導入やストリームによるリクエスト・レスポンスの制御などが実現されますが、これにより、ウェブページの表示が速くなるといったユーザにとってのメリットもさることながら、大規模なウェブサービスを提供している企業にとっては、リソースの有効活用を図ることができるといったメリットがあります。

HTTP/2は今後どうなる?

HTTP/2には、クライアントからサーバに送信するヘッダ情報を圧縮することができるため、送信されるデータ量が2割から3割も削減できるという特徴があります。特に、モバイル機器を使用して各種のWebサービスへアクセスする場合には、このデータ圧縮によるメリットが大きいと考えられます。

また先に述べた通り、Web上で大規模サービスを提供する企業になればなるほど、HTTP/2を導入するメリットが大きく、特にモバイル機器向けのサービスを提供している場合には、HTTP/2の導入によって性能改善が期待できるため、そのような企業ではHTTP/2の導入が進むでしょう。

2015年9月現在、次のウェブブラウザがHTTP/2 over TLSに対応しているようです。

  • Google Chrome (Ver.30は設定が必要)
  • Mozilla Firefox (Ver.34から標準で有効)
  • Windows 10上のInternet Explorer 11
  • Microsoft Edge
  • Opera

『HTTP/2』(フリー百科事典 ウィキペディア日本語版より 2015年9月24日 (木) 14:39‎ )
URL : https://ja.wikipedia.org/wiki/HTTP/2

今後も対応するWebブラウザが増えるにつれ、それに合わせたWebサービスを提供する企業が増えていくでしょう。

ATS(App Transport Security)とは

9月16日(米国時間)にApple社が全世界に向けてリリースされたiOS9には、「ATS(App Transport Security)」が実装されます。

ATSを有効にしている場合、 HTTP での通信はできず、またAppleが推奨する条件を満たさない接続は、接続失敗扱いとなります。具体的にはTLSのバージョンが1.2 以上であること、接続時には一定の暗号スイートを使用すること、サーバ証明書に求められる条件としては、SHA256 以上のフィンガープリント、2048 ビット以上のRSAキー、もしくは 256 ビット以上の Elliptic-Curve (ECC) キーを持つ証明書であることが条件であり、無効な証明書を使用した場合は強制的に接続失敗となります。

接続失敗の状態を解消したければ、ユーザ側としてATSそのものを無効にすること、あるいは特定のドメインに対して、ATSを無効にするという方法も考えられます。

また、Webサービスを提供する側としては、自社のWebサービスを常時SSL 通信に対応させることで、この問題を回避できます。将来、MacOSにもこのATSが実装される可能性があると言われていますので、常時SSL通信を採用し、ユーザの利便性向上を図ることが必須となる時代が来るでしょう。

HTTP/2、ATSはWebサービスの世界をどう変える?

特に大規模サービスを運営している企業にとって、HTTP/2はデータ通信量の軽減効果が大きく、その導入が進むと考えられるでしょう。また、モバイル機器を使用するサービスを提供する上でも、HTTP/2の採用によってサービスの性能を高めることができます。

一方で、iOS9をはじめATS採用のOSを使用しているユーザは、接続失敗の状態が繰り返されると、「なんとなく気味が悪い」と感じ、そのWebサービスへのアクセスを諦めてしまうことが増えるでしょう。

そのようなデメリットをユーザに感じさせないためには、Webサービスの常時SSL化を図ることが必要です。その際、HTTP/2を採用してデータ通信量を軽減することは、ユーザの「セキュアな通信が確保された上に、快適にサービス利用ができる」というメリットにつながるのです。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧