常時SSL化でサイトパフォーマンスをどう維持する?

2014年8月6日にインターネット検索大手のGoogleが発表した「HTTPS をランキング シグナルに使用します」により、Webサイトがビジネスで重要な位置付けにある企業にとって、常時SSL化は避けられない対策となりました。これは、「SSL化されていないサイトは検索結果として上位に表示されなくなる」可能性があり、セキュリティ対策のみならずSEO対策として常時SSL化が注目されています。

SSL化による検索結果の違い

常時SSL化:セキュリティは向上するが、サイトのパフォーマンスが低下するリスク

2048bit SSLでパフォーマンスが大幅に低下
常時SSL化に伴い、従来は1024bitであった鍵長は、2048bitへと倍増することでセキュリティレベルを強化することが主流になっています。ここで注目すべきなのが、鍵長の変更により発生する大量のトランザクションの処理をどうするか…という点です。

当然、2048bitの方がセキュリティ強度は高くなることに伴い、SSLの暗号化と復号化の処理により1秒あたりのトランザクションは約5~30倍になります。つまり単純計算で、トランザクション増によりパフォーマンスは1/5~1/30に劣化してしまいます(2014年、シトリックス調べ)。

セキュリティを向上させ、SEO対策にもなるものの、サイトのパフォーマンスが悪化してしまうのでは、ユーザにとって快適な環境とは言えない状況に陥ってしまいます。

サーバー台数を増やしたり、ロードバランサを過剰に増強するのはコスト面で大きな負担に!

トランザクションが膨大なものになってしまったサイトのパフォーマンスを改善するために、サーバーの台数を増やしてパフォーマンスを改善させる対策があります。また、サーバーの手前に設置されているロードバランサの台数を増やしたり、高パフォーマンスのものに増強するというのも解決策にはなります。しかし、いずれもハードウェアの購入や運用管理のコストが増加するという負担を強いられることになります。

サーバーやロードバランサーを増やすと管理負荷が増大する

サーバーのSSL処理を肩代わりするロードバランサー

SSLの処理をサーバーではなく、サーバーの手前に配置するSSL アクセラレータ(ハードウェアチップ)を持つ、ロードバランサー、ADCで実装することで、サーバーを増設することなく、SSLの処理だけをロードバランサーに”オフロード”することにより、サイトのパフォーマンスを向上させることができます。

SSL処理を肩代わりするロードバランサー

SSLに強いロードバランサーとは?

では、どのロードバランサーを選ぶべきなのか、考慮すべきポイントは2つあります。

一つは、SSLを行うハードウェアチップを何枚搭載しているかというところです。当然チップの搭載数が多ければ多いほど良いわけですが、価格にも跳ね返ってきます。もう一つのポイントは、最適化されたオペレーティングシステムです。

搭載されたSSLチップを効率良く使うためには、優れたオペレーティングシステムが重要になります。Citrix NetScaler では、SSLに最適化した一つのOSを全てのモデルで採用しており、競合他社と比較しても類似モデルで2倍から3倍のパフォーマンスを発揮します。Citrix NetScalerの詳細は、関連資料をご覧ください。

関連情報