SSLのコスト


SSL化によりセキュリティを担保することができますが、以下のようなコスト(代償)が発生します。今回は概要のみを紹介し、それぞれの詳細は別の記事として解説します。また、いくつかの項目については、サーベイした論文があり、その概要についてはSSLのコスト(サーベイ)で紹介します。

証明書費用

認証期間およびSSL証明書の種類により異なりますが、2015年における目安は以下となります:

年間費用
ドメイン認証 無料~数万円
企業認証 5万円程度
EV認証 10万円程度

リクエスト遅延

SSLでは、素のHTTPくらべ以下の二つの遅延要因があります:

  • SSLハンドシェイク: TCPハンドシェイクの2倍程度
  • 証明書の失効確認: CRLの場合、0.5秒~程度

サーバ負荷増加

SSLでは、以下の要因により暗号処理によりサーバ負荷が増加します:

  • 公開鍵系による共通鍵の生成
  • 暗号処理

目安としては、ショートセッションで1/10程度までサーバパフォーマンスが低下します。

クライアント負荷増加

クライアント側でも暗号処理のために、CPU負荷が増加します。ただし、最近のスマートフォンではそれほど影響は無いようです。また、CPU負荷の増加によるバッテリー消費の増加も考えられますが、調査結果によるとこれについても大きな増加は無いようです。

IPアドレス

ガラケー等の古い端末に対してSSLを使用するには、それぞれの証明書に対し専用のIPアドレスが必要です。たとえば、一般的な共用ホスティングでは、ガラケー向けにSSL通信を行うことはできません。

一方、最近の端末では、SNI(SSLにおけるバーチャルホスト機能)に対応しており、専用のIPアドレスは必要なくなりました(一般的な共用ホスティングでもSSL通信が可能です)。

SSL設定

SSLはセキュリティ機能であり、クラッキングコストとの兼ね合いで、古い環境(暗号方式、鍵長)の切捨てが必要になります。つまり、その時々の状況に合わせ、最適なSSL設定(使用するプロトコル、暗号方式、鍵長)を行う必要があります

緊急パッチ適用

SSL関連における緊急セキュリティパッチが、この数年増えています。

脆弱性公開日 通称 対応
2014年4月 HeartBleed OpenSSLのアップデート
2014年10月 Poodle SSL3.0の廃止(切捨て)
2015年3月 Freak EXP~の廃止

SSL運用には、セキュリティ情報の収集、迅速な対応が必要とされます。

トラフィック増加

SSL化により、企業やISPで使用されれるProxyサーバによるキャッシュが利かなくなります。この結果、オリジンサーバから配信するトラフィック量が増えます。

一方、最近のブラウザでは、SSLについても、そのコンテンツをキャッシュするようになっています。そのため、SSLコンテンツにつても、ブラウザでキャッシュさせるようにFEO的アプローチが必要です。