2017年1月より、Google Chromeブラウザ、Firefoxブラウザにおいて、SSL化されていないページにパスワード入力フォームがある場合、アドレスバーに「保護されていません」といった表示や鍵アイコンに斜線表示などが入るようになりました。OSによっては、「保護されていない通信」と表示されることもあります。この「保護されていません」の「保護」とは何なのか、どうすれば表示を消せるのかを、本記事では解説します。
それではまず、「保護されていません」を表示する目的について、簡単にご説明します。
ブラウザベンダーでは、よりユーザが安全にインターネットを利用できるように表示の工夫を行っています。2017年1月以前は、SSLの設定不備でアドレスバーの先頭に赤斜線などの表示を行うことはありましたが、SSL化されていないページでパスワード入力を行う際などhttp通信に関しては特に警告表示はありませんでした。
そのため、例えば悪意のある第三者が銀行のログイン画面を模したフィッシングサイトを作成し、ユーザに銀行のログインパスワードを入力させてパスワードやIDを詐取する可能性がありました。
現在は「保護されていません」と非SSL通信に関して明確にネガティブな表現を行うことで、ユーザが不正サイトに気づきやすくなっているところがポイントです。
では、「保護」とは何でしょうか。具体的には認証局により署名された証明書を使ってhttpsで通信する、つまり正規のSSLサーバー証明書(以下、SSL証明書)を用いて暗号化通信を行うことを指します。正規のSSL証明書を使ってSSL通信を行うことで情報が暗号化されるため、盗聴、改ざん、なりすましを防止することができます。SSL通信下では通信内容を暗号化して保護することができるため、パスワードやその他の個人情報を送信しても安全と言えます。
- ※ もちろん上記で説明した手法以外にもパスワードや個人情報を詐取しようとする手段はありますので、インターネットで情報を送信する際は注意が必要です。
各ブラウザでの表示状況
各ブラウザでは通信が保護されていない場合の表示を以下のように行っています。
| Google Chrome | アドレスバーに「保護されていません/保護されていない通信」と表示 |
|---|---|
| Firefox | アドレスバーに赤い斜線の入った鍵アイコンを表示 |
| Internet Explorer | 特に対応なし |
| Microsoft Edge | 特に対応なし |
詳しいブラウザ別の警告表示については、別の記事でご紹介します。
「保護されていません」の解消方法
では、作成したページに「保護されていません」といった警告が表示されたらどうすればいいのでしょうか。平文でパスワードを送信することはセキュリティ的に避けたいので、解消方法としては2通りとなります。
- パスワード入力フォームの提供をやめる
- パスワード入力フォームを含むページをSSL化する
パスワード入力フォームの提供をやめるのは難しいことですので、実質、対応方法としては、ページ/サイトのSSL化が必須となります。サイトの常時SSL化については、「常時SSL化とは」の記事をご覧ください。
さくらのレンタルサーバをお使いのお客様は、サーバコントロールパネルからJPRS ドメイン認証型を申し込むことで簡単に設定することができます。他社サーバーをご利用の方も、さくらのSSLで証明書を購入できます。
今後のブラウザ警告表示動向
最後に、今後のブラウザ警告表示の流れですが、2017年10月頃より、Google Chromeブラウザでは「保護されていません」の表示条件を、パスワード入力フォームからフォーム全てへ拡大しようとしています。つまり、ページ内検索といった入力される文字列が必ずしも個人情報を含まないものであったとしても、一律で「保護されていません」といった警告が表示される可能性が高まっています。
ブラウザベンダーは常に、エンドユーザが安心してインターネットを使うことができるようなブラウザづくりを目指しています。そのため、方向性としては全ての通信をSSL化することを最終目標としていると考えられます。現段階で全てのサイトをSSL化するのは費用面の負担もあるため難しいかと思いますが、信用を重視する企業が運営する商用サイトやECサイトなどであればSSL化を早急に検討する必要があると考えられます。