Alexa 上位 100 万サイトの半数以上 (51.8%) が初めて HTTPS へのリダイレクトを積極的に行っています。
セキュリティ研究者のスコット・ヘルム氏が金曜日に発表した最新の統計によると、このマイルストーンは、完全に暗号化されたウェブに向けて進む力強い6か月の間に達成されたという。
2 月に Helme がデータに基づいて Web セキュリティ状況を最後に報告した時点では、HTTPS の採用は鈍化したように見えました。
![https 採用チャート [出典: Scott Helme のブログ投稿]](https://image.brawte.com/anejbkmn/47/94/https_adoption.webp)
HTTPS の採用がウェブで最も訪問されるサイトの半数を超えるマイルストーンを達成
「(HTTPSの)採用は再び増加しており、その急激な伸びが継続しています」とヘルメ氏は述べた。「このグラフに示されている成長は、他のセキュリティ対策に匹敵するものはありません。これを実現するためにどれだけの労力が必要だったかを考えれば、その驚異的な成長ぶりは一目瞭然です。」
一方、セキュリティ研究者がこの技術に反対し、Google がこれを非推奨にし始めたため、HTTP 公開鍵ピンニング (HPKP) の使用は減少しました。
「PKPの使用量は18%減少し、PKPROの使用量も5%減少しています。他の指標のように成長が続くのではなく、サイトがヘッダーを削除しているのが見られます」とヘルム氏は報告しています。「ランキング下位のサイトでもHPKPを使用しているサイトは依然としてはるかに多く、これはほぼTumblrのおかげなので、分布は同じですが、数は大幅に減少しています。」
対照的に、他のセキュリティヘッダーの普及率は高まっています。Helme氏によると、HTTPSの利用増加に伴い、コンテンツセキュリティポリシー(CSP)は40%増、HTTP Strict Transport Security(HSTS)は23%増と、驚異的な増加を見せています。
Google Chromeユーザーは7月下旬から暗号化されていないウェブサイトにアクセスした際に警告を受けるようになり、今後6ヶ月間でHTTPSの普及がさらに加速する要因となるだろう。ヘルム氏と彼の長年の協力者であるトロイ・ハント氏は、Google Chromeの動作変更に合わせて、暗号化なしでも読み込める有名サイトを非難するサイト「whynohttps.com」を立ち上げた。
HTTPSの急速な成長に伴い、認証局の利用も増加しています。この普及拡大に貢献していると思われる認証局の一つがLet's Encryptで、最も急激な成長を遂げています。「上位100万位以内にランクインしたLet's Encryptは、上位から下位まで、全体的に同様の成長を見せています」とヘルメ氏は述べています。
Let's Encryptの統計によると、発行済みのアクティブな証明書は1億4,700万件に達し、毎日平均93万件ずつ追加発行されています。上位100万サイトにおけるHTTPSの急成長にもかかわらず、EV(Extended Validation Certificate)証明書の成長はそれほど大きくありません。
「HTTPSに移行する新しいサイトが大量に発生し、EVのメリットが提唱されていることを考えると、EVの利用は少なくとももう少し増えるだろうと思っていましたが、実際にはそうではありませんでした」とヘルメ氏は指摘した。さらに、自身のデータによると、以前はEV証明書を使用していた一部のサイトが、EV証明書からOV(組織認証)証明書またはDV(ドメイン認証)証明書に切り替えたことがわかったと付け加えた。
ヘルメ氏はブログ記事の中で、より安全な ECDSA (楕円曲線デジタル署名アルゴリズム) キーが新しい HTTPS の採用ではあまり普及しておらず、時代遅れの RSA が依然として第一の選択肢となっていると指摘しました。
「導入は最初のステップであり、その後の改善ははるかに容易です」とヘルメ氏はEl Regに語った。「本当に良いのは、すべての指標が改善されていることです。」®
