ブログ - SSL対応と非対応ページを準備しておく理由
ECとかのWebサイトで個人情報に関係するようなデータの送受信が行われる際にSSLを使ったHTTPSによる暗号化通信が使われるのが普通です.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.