SSLはどのページからスタートさせるか？

ウェブサイトの暗号化技術SSLについての質問です。
ウェブサイトなどで、SSLを導入する場合、どのページからSSLのアドレス（httpsから始まるやつですね）にしたほうがいいのか、教えて下さい。

私の感覚としては、フォームを送る際に暗号化されていればいい、と思うので、例えば、IDとパスワードを入れるフォームがあるログインページでは、まだhttpでよくて、そのフォームが送る先からがhttpsなのかな、、と。

けれど、ほとんどのネット上のサービスで、ログインページからアドレスがhttpsになっているのを見ます。（このOKWaveでもログイン画面でもうhttpsになっていますよね。）
実際、ログインフォームの画面もhttpsにしておかないと、問題があるのでしょうか？

以上、よろしくお願いします。

No.2 ベストアンサー 回答者： ultrawave 回答日時： 2006/07/28 12:13

これは技術的どうこうよりも、信頼性の問題かと思います。

仮にSSLを使用していることを明示されているとしても、送るまで暗号化されていることが確認できないのであれば、信用はできませんよね。情報をポストする側にたてばすぐわかることです。

この回答へのお礼

ありがとうございます。
「SSLでちゃんと接続できた」という確認を先にさせるということですね。

お礼日時：2006/08/01 18:07

No.4 回答者： taniyan001 回答日時： 2006/07/29 14:52

＞IDとパスワードを入れるフォームがあるログインページでは、まだhttpでよくて、そのフォームが送る先からがhttpsなのかな

ユーザーの立場に立つと、

そのhttpサイトは信頼できるとは限りません。
どこかで改ざんされたものかもしれません。

HTMLを確認しなければ安全性を確認できません
他の悪意あるサイトにパスワードが転送されていないか調べないといけません。

この回答へのお礼

その先が、本当にSSLなのか確認が難しいんですね。
ありがとうございました。

お礼日時：2006/08/01 18:11

No.3 回答者： notnot 回答日時： 2006/07/28 14:50

#1の方の書かれたサイトにも多分書いてあると思いますが、「暗号化技術SSL」と書いた時点ですでに誤りです。

SSLはサーバー認証技術(接続しているサーバーが正当なものであることを証明する技術)であると考えたほうが良いです。

ただ最近はメールだけで取れる安価な証明書もあるらしいのでSSLだからといって安心はできませんが。ちゃんとした証明書は会社の登記書とかを調べてちゃんとその法人が実在してその会社のものであると確認してから発行されます。
とはいえ、ほとんどのユーザーは気にしてないと思いますけど。

この回答へのお礼

ご意見、ありがとうございました。

お礼日時：2006/08/01 18:09

No.1 回答者： 0KG00 回答日時： 2006/07/28 10:46

http://takagi-hiromitsu.jp/diary/20051130.html
http://itpro.nikkeibp.co.jp/article/OPINION/2005 …

フィッシング/ファーミング対策として問題がある場合があるそうで。たしかにユーザの立場で考えるとログイン画面が正当であることをしる術がないですからね。

この回答へのお礼

フィッシング／ファーミング対策でもあるんですね。
ありがとうございました。

お礼日時：2006/08/01 18:08