2017年1月より、Google Chrome、Firefoxにおいて、SSL化されていないページにパスワード入力フォームがある場合、アドレスバーに「保護されていません」といった表示や鍵アイコンに斜線表示などが入るようになりました。
さらにその後、警告表示の対象が広がり、サイトがSSL対応していなければ「保護されていない通信」が黒字で表示され、フォームに文字を入力した時点で赤字に変化するようになっています。OSによっては「保護されていません」と表示されることもあります。この「保護されていない通信」の「保護」とは何なのか?どうすれば表示を消せるのか?を本記事ではご紹介します。
「保護されていない通信」を表示する目的とは
ブラウザベンダーでは、ユーザがより安全にインターネットを利用できるようにブラウザ表示の工夫や改善を行っています。2017年1月以前は、SSLサーバー証明書(以下、SSL証明書)の設定不備でアドレスバーの先頭に赤斜線などの表示を行うことはありましたが、http通信に関しては特に警告表示はありませんでした。
そのため、例えば悪意のある第三者が無料Wi-Fiアクセスポイントを開設し、それを利用した人がSSL化されていないサイトにアクセスした場合、そこで入力した情報を第三者は容易に窃取することができました。
- ※ もちろん犯罪です。
現在では「保護されていない通信」と表示されるため、非SSL通信に関して明確にネガティブな表現が行われており、ユーザがSSL化されていないサイトに気づきやすくなっています。
では「保護」とは何でしょうか。具体的には認証局により署名された証明書を使ってhttpsで通信する、つまり正規のSSL証明書を用いて暗号化通信を行うことを指します。正規のSSL証明書を利用すれば通信内容が暗号化されて保護することができ、盗聴、改ざん、なりすましを防止することができるため、パスワードやその他の個人情報を送信しても安全と言えます。
- ※ もちろん上記で説明した手法以外にもパスワードや個人情報を詐取しようとする手段はありますので、インターネットで情報を送信する際は注意が必要です。
各ブラウザでの表示状況
通信が保護されていない場合、各ブラウザでは以下のように表示されます。
| Google Chrome | アドレスバーに「保護されていません/保護されていない通信」と表示 |
|---|---|
| Firefox | アドレスバーに赤い斜線の入った鍵アイコンを表示 |
| Internet Explorer | 特に対応なし |
| Microsoft Edge | 特に対応なし |
「保護されていません」の解消方法
では、作成したページに「保護されていません」といった警告が表示されたらどうすればいいのでしょうか。平文でパスワードを送信することはセキュリティ的に危険なため、解消方法としては2通りとなります。
- 入力フォームの提供をやめる
- 入力フォームのページをSSL化する
入力フォームの提供をやめることは難しいので、実際の対応方法としてはページ/サイトのSSL化が必須となります。かつてはSSL化のコストが高い・CPU負荷を考慮する必要があるなどの理由があったため、”入力フォームがあるページだけをSSL化する”という対応が主流でしたが、現在ではコストも下がりCPU負荷を気にする必要も無くなってきたため、サイトすべてをSSL化する「常時SSL化」が推奨されています。サイトの常時SSL化については『常時SSL化(https化)のメリットと必要性とは』の記事をご覧ください。
さくらのレンタルサーバを利用している方は、サーバコントロールパネルからJPRS ドメイン認証型を申し込むことで簡単にSSL証明書を設定することができます。無料のSSL証明書でも問題ない場合はLet’s Encryptを利用することも可能です。他社サーバーを利用中の方も、さくらのSSLで証明書を購入・利用することができます。
今後のブラウザ動向
常にブラウザベンダーは、エンドユーザーが安心してインターネットを使うことができるようなブラウザづくりを目指しています。そのため、方向性としては全ての通信をSSL化することを最終目標としていると考えられます。
無料SSL機能などが充実した現在では、サイトを常時SSL化するコストはかなり下がってきました。信用を重視する企業であれば、運営する商用サイトやECサイトなどのSSL化を早急実施する必要があります。もちろん、それ以外のサイトであってもSEOなどで常時SSL化はメリットがありますので、積極的に検討した方がよいでしょう。
こちらの記事もあわせておすすめ!
ご紹介したLet’s Encrypt(無料SSL証明書)については、『無料証明書と有料証明書の違い』で詳しく紹介しています。また、SSLの仕組みなどについては『SSLって何?意味や仕組みをわかりやすく解説!』をご覧ください。