「この接続ではプライバシーが保護されません」とブラウザで表示される原因と対策
サイトやブログを訪れると「この接続ではプライバシーが保護されません」と表示されることってありませんか?
Google Chromeでは下の画像のように表示されます。
IEでは下のように表示されます。
最初にこの画面を見ると、「もしかして危ないサイト?」「ウイルス?」と思われるかも知れません。
この画面が表示される原因は、そのサイトやブログがSSL(Secure Sockets Layer)に対応していないからです。
SSLに対応していないHTTPから始まるウェブアドレスを、SSLに対応しているHTTPSに置き換えてアクセスした場合も表示されます。
■目次■
SSL(Secure Sockets Layer)とは?
SSLと聞くと、なんだか難しそうと思われるかも知れませんが、簡単に説明します。
私達が見ているどのサイトやブログもWebサーバーにあります。そしてそのサイトを見るにはインターネットブラウザ(Google ChromeやIE)が必要です。
サイトが置かれているWebサーバーにインターネットブラウザで接続するわけですが、SSLとはWebサーバーとブラウザの間に暗号化されたリンクを確立するための標準のセキュリティプロトコル(約束事)です。
サイト運営者が契約しているWebサーバーでこのSSLを設定していないと、プライバシーエラーとして上で挙げたような画面になります。
その場合、Webアドレスはhttpから始まるアドレスになっています。つまり、Webサーバーとブラウザの間に暗号化されたリンクが確立されていないわけです。SSLに対応しているサイトはhttpsから始まるアドレスになっています。
SSLの基本的な役割は「通信の暗号化」「データの改ざん防止」「データの盗聴防止」です。
警告画面を無視してアクセスしたらどうなるの?
現在では、サイトのSSL対応はもはや常識になっています。暗号化されたリンクが確立されていないと言うことは、悪意のある第三者によって通信内容を見られる可能性があります。
例えば、個人情報を入力するサイトがSSL未対応の場合、悪意のある第三者により、通信内容から個人情報が盗み見される可能性もあります。
入力フォームに個人情報を入力するようなサイトは避けるのが無難です。
逆に閲覧するだけのサイト、例えば皆さん一度は覗いたことのある掲示板まとめ系のサイトなどはSSLに対応していないサイトが多い印象です。
URLバーに マークと「保護されていない通信」が表示されているはずです。
SSLに対応している場合は、URLバーに鍵のマークが表示されます。
SSLには有料と無料がある
サイトをSSLに対応させるには、サーバーに通信を暗号化させる鍵とウェブサイト運営者の情報が含まれた「SSL証明書」をインストールする必要があります。
このSSL証明書には無料で発行できるものと有料で発行できるものがあります。その違いはSSL証明書を発行する際の審査の仕方にあります。
SSL証明書には「ドメイン認証」「企業認証」「EV(Extended Validation)」の3種類があります。
有料のSSL証明書は、主に企業や法人のサイトなどで使用されています。その目的はフィッシング詐欺などの「なりすまし対策」の為です。
有料のSSL証明書には、「企業認証」と「EV(Extended Validation)」と言うものがあり、厳格な審査でその企業や組織が実在するか確認されたのちに発行されます。
よって有料で発行されたSSL証明書には企業や組織の正確な情報が含まれています。
例えば、この記事を書くにあたり参考にさせて頂いた知らないと損をするサーバーの話は、認証レベルで最高とされる「EV(Extended Validation)」により認証されています。
DigiCertの証明書はTOYOTAやSONYなどの大企業にも採用されているSSL証明書です。
また、無料のSSL証明書でよく使われる「ドメイン認証」では、サイトの所有者が誰であるかまでは検証されず、自動発行されます。
つまり、フィッシング詐欺への対策としては不十分と言えます。
しかし、無料のSSL証明書と有料のSSL証明書で暗号化通信に対するセキュリティに違いはありません。
個人情報やクレジットカード情報を扱うECサイトなどでなければ、個人ブログの場合、無料のSSLでもいいと思います。
ブログ運営者から見たSSL対応の話
ブログ運営者から見ると、HTTPだったブログをHTTPSにする場合、ワードプレスなどでもリンクを修正する必要があります。記事内の画像のURLなどがそうです。
一見面倒に感じますが、プラグインで一括変換できたりしますのでそこまで面倒でもないです。
あと、SSL対応へのコストですが、記事で述べたように、個人ブログならば契約しているサーバー会社で無料SSLが用意されていたりしますので利用すればいいだけです。
Googleは数年前よりサイトのSSL対応をサイトオーナーに向けて促していました。Googleウェブマスター向け公式ブログ
そして2018年の7月よりSSL未対応のサイトは、URLバーに「保護されていない通信」と表示されるようになりました。Chromeのバージョン68からです。
Googleもサイトオーナーのコストを軽減させるべく、手間とコストがかかる常時SSL化を安価で簡単にできるLet’s Encryptと言う認証局のPlatinumスポンサーになっています。
現在はこのLet’s Encryptがサーバー会社に用意されている感じです。
ブログを書いていると、参考にしたサイトをリンクとして貼るのはよくあることです。
そこでいつも疑問に思うのは、一般的に知られている企業であっても、会社のサイトがSSLに対応していないケースが多いと言う事実です。
スマホが普及した現在、会社の看板とも言えるホームページと言うのは、企業マーケティングや会社を知って貰う上で非常に重要な役割を担っています。
では何故SSLに対応していないのか?その理由は有料SSLを導入するコストがあると思われます。
個人的にはそこをケチるのはどうなの?と思いますが。。
まとめ
- URLバーに「保護されていない通信」と表示されている場合はSSLに対応していない
- 「この接続ではプライバシーが保護されません」と画面に表示される場合は、HTTPから始まるウェブアドレスにHTTPSでアクセスしようとした場合に表示される。その場合は手動でウェブアドレスをHTTPS→HTTPと置き換えてアクセスすれば見れる可能性がある。しかし、SSLに対応していないサイトにアクセスすることに変わりはない
- SSLに対応していないサイトで個人情報やクレジットカード情報を入力しないこと
ちなみに私のブログでも記事内に貼ったリンク先がSSLに対応していない場合、警告画面が表示されるかも知れません。
本当はリンク先全てをHTTPSに置き換えたいのですが、読んでくださっている皆様に、警告画面で余計な不安を煽らない為にも今回の記事を書いた次第でございます。