SSL化によりセキュリティを担保することができますが、以下のようなコスト(代償)が発生します。今回は概要のみを紹介し、それぞれの詳細は別の記事として解説します。また、いくつかの項目については、サーベイした論文があり、その概要についてはSSLのコスト(サーベイ)で紹介します。
証明書費用
認証期間およびSSL証明書の種類により異なりますが、2015年における目安は以下となります:
年間費用 | |
ドメイン認証 | 無料~数万円 |
企業認証 | 5万円程度 |
EV認証 | 10万円程度 |
リクエスト遅延
SSLでは、素のHTTPくらべ以下の二つの遅延要因があります:
- SSLハンドシェイク: TCPハンドシェイクの2倍程度
- 証明書の失効確認: CRLの場合、0.5秒~程度
サーバ負荷増加
SSLでは、以下の要因により暗号処理によりサーバ負荷が増加します:
- 公開鍵系による共通鍵の生成
- 暗号処理
目安としては、ショートセッションで1/10程度までサーバパフォーマンスが低下します。
クライアント負荷増加
クライアント側でも暗号処理のために、CPU負荷が増加します。ただし、最近のスマートフォンではそれほど影響は無いようです。また、CPU負荷の増加によるバッテリー消費の増加も考えられますが、調査結果によるとこれについても大きな増加は無いようです。
IPアドレス
ガラケー等の古い端末に対してSSLを使用するには、それぞれの証明書に対し専用のIPアドレスが必要です。たとえば、一般的な共用ホスティングでは、ガラケー向けにSSL通信を行うことはできません。
一方、最近の端末では、SNI(SSLにおけるバーチャルホスト機能)に対応しており、専用のIPアドレスは必要なくなりました(一般的な共用ホスティングでもSSL通信が可能です)。
SSL設定
SSLはセキュリティ機能であり、クラッキングコストとの兼ね合いで、古い環境(暗号方式、鍵長)の切捨てが必要になります。つまり、その時々の状況に合わせ、最適なSSL設定(使用するプロトコル、暗号方式、鍵長)を行う必要があります
緊急パッチ適用
SSL関連における緊急セキュリティパッチが、この数年増えています。
脆弱性公開日 | 通称 | 対応 |
2014年4月 | HeartBleed | OpenSSLのアップデート |
2014年10月 | Poodle | SSL3.0の廃止(切捨て) |
2015年3月 | Freak | EXP~の廃止 |
SSL運用には、セキュリティ情報の収集、迅速な対応が必要とされます。
トラフィック増加
SSL化により、企業やISPで使用されれるProxyサーバによるキャッシュが利かなくなります。この結果、オリジンサーバから配信するトラフィック量が増えます。
一方、最近のブラウザでは、SSLについても、そのコンテンツをキャッシュするようになっています。そのため、SSLコンテンツにつても、ブラウザでキャッシュさせるようにFEO的アプローチが必要です。