自動見積ページ制作
あなたの商品・サービスをネット上で自動見積できるページを制作します
050-6870-5000
常時SSLでWebサイトの通信を保護しよう
Webサイト上のフォームに入力してボタンをクリックした途端、上記のような「この接続ではプライバシーが保護されません」というエラー画面に阻まれ、先に進めなくなったことはありませんか。じつは同じWebサイトでも、見るデバイスによって、この画面が出たり出なかったりします。ですから、自分のデバイスで見て、エラー画面が出ないからといって、問題なしとするわけにはいきません。
エラー画面が出なくても、下図のように、アドレスバーに「保護されていない通信」と表示されることがあります。
「保護されていない通信」とは、ユーザーとサーバーの間でやり取りされるデータが暗号化されていないことを指します。そのため、サーバーに関する知識がある人なら、通信内容を盗み見ることができます。あるいは、なりすましをしてデータを改竄して人を騙すこともできます。また、悪意がなくても、通信中にデータが遺漏したり、壊れたりすることもあります。
このように「保護されていない通信」を行っているサーバーはセキュリティ上、重大な問題を抱えています。
この問題を解決するために導入されるようになったのが、SSLサーバー証明書というしくみです。
SSLサーバー証明書とは、SSL認証局と呼ばれる第三者機関が、そのサーバーのドメイン登録者等を確認したうえで、その証明としてSSL/TLSという暗号化通信のシステムをに提供します。
サーバーがSSL/TLS = Secure Sockets Layer / Transport Layer Security インストールし設定することでSSL通信が確立し、サーバーとユーザー間のやり取りが暗号化されます。
暗号化されたデータは盗み見ても、何をやり取りしているのかがわからず、なりすましがやりにくくなります。またデータ転送時の安全性が高まります。
なお、SSL通信を行っているサーバーはアドレスが http://~ から https://~ に変わり、さらに「保護されていない通信」という文言が消えて、黒い鍵マークが表示されます。
なお、サイト内の全ページでSSL通信をすることを常時SSLといい、現在では、この常時SSLがセキュリティの基本対策として求められています。
見劣りする日本のSSL導入率
数年前、ブラウザがSSL通信かどうかアドレスバーに表示し始めると、日本の中央官庁のWebサイトが軒並み「保護されていない通信」となり、何か入力すると赤くなるという現象が多発したことがあります。
以来、SSLの導入が進みました。
とはいえ、Google が調査した10か国中上位8か国の導入率が90%以上なのに対して、日本は81%(2020.9.5)でダントツ最下位です。しかも伸び率が非常に鈍く、グラフからは90%に到達できるのか危ぶまれます。
ブラウザの警告表示が緩くなったことも、日本のSSL普及をむずかしくしています。
SSLを導入していないサイトでは、アドレスバーに「保護されていない通信」と表示されはしますが、もう赤くなりません。なぜ、赤くしなくなったのかは不明ですが、効果は覿面でした。目障りなくらい、セキュリティの不備を指摘してもらえなくなり、かつてあった「何としてもSSLを導入せねば」という機運は失せました。
ブラウザのセキュリティ対策の後退は、こればかりではありません。
トップイメージに挙げた「この接続ではプライバシーが保護されません」というエラー表示も、以前はパソコンでも表示されていました。今は、パソコンの Chrome のセーフブラウジングを「標準保護機能」から「保護強化機能」に上げても、エラー画面は出ません。スマホやタブレットの Chrome なら出るのに。
この接続ではプライバシーが保護されません
トップイメージのエラー画面は、このサイトのトップイメージ用にレイアウトし直し、アドレスも匿名化していますが、それ以外の文言はそのままで、実際のエラー画面を再現しています。
左下の NET::CERT_DATE_INVALID というのは「このサイトは以前、SSL証明書を導入していたが、有効期限が切れた」ということを示しています。
筆者がモデルにしたWebサイトは2018年に有効期限が切れて以降、3年間もほったらかしです。世界的に知られたユーザー数の多いWebサイトなのに、Webマスターが対応しないのは、Webマスターはエラー画面が出ないパソコンを使っているからなのでしょう。
ここで、SSLサーバー証明書エラーとブラウザの対応を表にします。
| SSLなし | SSL期限切れ | |
|---|---|---|
| PC Chrome | △警告表示 | △警告表示 |
| スマホ/タブレット Chrome | △警告表示 | ×通信遮断 |
そもそも、SSLを全く導入したことがないサイトでは暗号化されていない通信でも妨げないのに、有効期限の切れたサイトでは通信を遮断するというのは、筋の通らない仕様です。
加えて、通信を遮断するのも、スマホやタブレットに限定するのも、中途半端な仕様で、これでは責任者から問題点を見えにくくしてしまいます。
ブラウザを開発する企業もネット環境の理想より、無理解で声がでかいユーザーに忖度しなければならないのでしょう。
ともかくSSLを導入しよう
ではどうすればいいのか?
エラー画面が出ようと出まいが、自分のサイトに黒い鍵マークがなければ、ともかくSSLを導入しましょう。
もし、公的機関でなく、ECサイトでもないのであれば、Let's Encrypt という無料の SSL が最良の選択肢になります。
Let's Encrypt はすべてを自動化しているため、ドメイン登録者の確認(DV)しかできませんが、無料なので、3か月ごとの自動更新を正しく設定すれば、有効期限切れになることはありません。
有料SSLをありがたがる人もいますが、SSL/TLSの性能は大して変わりません。有料SSLといっても、シマンテックのように、不適切な運用をしたために、認証そのものを無効とされた事例もあります。それを考えると、無料であっても、IT大手が結集したNGOが運営する Let's Encrypt のほうが信頼に足ります。
ただし、レンタルサーバーにユーザーが Let's Encrypt をインストールすることはできません。
ではどうすればいいのか?2
SSLサーバー証明書のラインナップに Let's Encrypt も加えているレンタルサーバーを採用することをお勧めします。
もし、現在使っているレンタルサーバーに無料SSLがないのであれば、引っ越すべきと筆者は考えます。
まとめ
SSLサーバー証明書は、サーバーとユーザー間の通信を暗号化するしくみで、セキュリティ上欠かせない技術です。
SSL通信に対応しているサーバーかどうかは、アドレスバーに黒い鍵マークがあるか「保護されていない通信」となっているかで判別できます。かつてSSL通信を行ったことがあっても、SSLサーバー証明書の期限が切れていたりした場合、ユーザーがサーバーにデータを送ろうとすると、「この接続ではプライバシーが保護されません」というエラー画面になり、通信が遮断されます。しかしこの現象はパソコンでは起きないため、Webマスターは気づかないことがあります。
ですから、エラー画面が出ようと出まいと、アドレスバーが「保護されていない通信」となっていれば、かならず、SSLサーバー証明書を導入してください。
著者紹介
