A社ホームページ http://www.example.jp/ のうち、重要な情報を掲載するページを https:// でも閲覧できるようにと、SSLを導入したとする。https://www.example.jp/important.html というページができることになるが、このSSLページは http:// でもアクセスできることになる。セキュリティコンサルが言う要件に違反してしまう。こんな本末転倒な話があるか。似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべきだ。http:// で閲覧するか https:// にするかは利用者が選ぶことだ。
ここで例に挙げられているのは(静的な)“重要な情報を掲載するページ”ですが、一方で、重要な情報を送受信する動的なページについては、(サイト側が定義するところの)“暗号化で保護が必要な画面(https:// を使うことにした画面)に対して、http:// でアクセスされても情報を表示しないように作る必要”があるとされていますね。 動的な https:// のページを http:// で表示しないように制御するのは、もちろん、Webアプリ側やWebサーバの設定でも出来るわけですが、手っ取り早く、抜け漏れを防いだ形で実現するために、そもそも https:// と http:// のコンテンツをまったく別のディレクトリに分けて置いているということも考えられますね。 もしくは、SSLアクセラレータとの絡みで、https:// と http:// が物理的に別のサーバという可能性もあるでしょうか。 何が言いたいかというと、わざわざイヂワルをして規制しているわけでも、“似非コンサルの戯言”のせいでもなく、コンテンツがそこに無いだけ・・・つまり、閲覧をさせないようにしているのではなく、閲覧をさせるようにしていない(考慮が漏れていた)のではないかと。 もちろん、“顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護する”ことには賛成なので、事情はどうあれ、https:// での情報提供をするように改善して欲しいところです。