HTTP/2、ATS(App Transport Security)登場！セキュア通信への理解と実践が求められる時代へ

ウェブサイトセキュリティ業界動向

2015年10月01日 2023年07月26日

2015年2月17日に正式な仕様として承認されたHTTP/2。1999年にHTTP 1.1が規定されて以来、14年ぶりの改訂となりました。そして、先日登場したiOS9にはATS(App Transport Security)が実装され、モバイル機器の世界でも、セキュアな通信への移行がますます加速していきます。Webサービス、PC、モバイルなどで世界が繋がる時代、言い換えれば、セキュアな通信により通信内容が守られなければならない時代、様々な技術は世界をどう変えていくのでしょうか？

HTTP/2とは？
HTTP/2は今後どうなる？
ATS(App Transport Security)とは
HTTP/2、ATSはWebサービスの世界をどう変える？

HTTP/2とは？

Googleは、2009年11月11日にSPDY/1というプロトコルを発表しました。SPDYは、HTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのWeb表示を高速化するという目的で開発され、SPDYとしては3.1までのバージョンが開発されています。

HTTP/2は、そのSPDYの人気を受けて開発されたプロトコルです。HTTP/2ではHPACKというヘッダサイズ圧縮の仕組み導入やストリームによるリクエスト・レスポンスの制御などが実現されますが、これにより、ウェブページの表示が速くなるといったユーザにとってのメリットもさることながら、大規模なウェブサービスを提供している企業にとっては、リソースの有効活用を図ることができるといったメリットがあります。

HTTP/2は今後どうなる？

HTTP/2には、クライアントからサーバに送信するヘッダ情報を圧縮することができるため、送信されるデータ量が2割から3割も削減できるという特徴があります。特に、モバイル機器を使用して各種のWebサービスへアクセスする場合には、このデータ圧縮によるメリットが大きいと考えられます。

また先に述べた通り、Web上で大規模サービスを提供する企業になればなるほど、HTTP/2を導入するメリットが大きく、特にモバイル機器向けのサービスを提供している場合には、HTTP/2の導入によって性能改善が期待できるため、そのような企業ではHTTP/2の導入が進むでしょう。

2015年9月現在、次のウェブブラウザがHTTP/2 over TLSに対応しているようです。

Google Chrome (Ver.30は設定が必要）

Mozilla Firefox (Ver.34から標準で有効)

Windows 10上のInternet Explorer 11

Microsoft Edge

Opera

『HTTP/2』（フリー百科事典ウィキペディア日本語版より 2015年9月24日 (木) 14:39‎ ）
URL : https://ja.wikipedia.org/wiki/HTTP/2

今後も対応するWebブラウザが増えるにつれ、それに合わせたWebサービスを提供する企業が増えていくでしょう。

ATS(App Transport Security)とは

9月16日（米国時間）にApple社が全世界に向けてリリースされたiOS9には、「ATS(App Transport Security)」が実装されます。

ATSを有効にしている場合、 HTTP での通信はできず、またAppleが推奨する条件を満たさない接続は、接続失敗扱いとなります。具体的にはTLSのバージョンが1.2 以上であること、接続時には一定の暗号スイートを使用すること、サーバ証明書に求められる条件としては、SHA256 以上のフィンガープリント、2048 ビット以上のRSAキー、もしくは 256 ビット以上の Elliptic-Curve (ECC) キーを持つ証明書であることが条件であり、無効な証明書を使用した場合は強制的に接続失敗となります。

接続失敗の状態を解消したければ、ユーザ側としてATSそのものを無効にすること、あるいは特定のドメインに対して、ATSを無効にするという方法も考えられます。

また、Webサービスを提供する側としては、自社のWebサービスを常時SSL 通信に対応させることで、この問題を回避できます。将来、MacOSにもこのATSが実装される可能性があると言われていますので、常時SSL通信を採用し、ユーザの利便性向上を図ることが必須となる時代が来るでしょう。