新型コロナウイルス感染症に関する当社対応について

「保護されていない通信」と表示された場合の対処方法とは? | SSLサーバー証明書ならさくらインターネット

「保護されていない通信」と表示された場合の対処方法とは?

Chromeブラウザでは非SSL(http)ページへの警告表示が2017年から段階的に強化されてきました。本コラムではその経緯を紐解くとともに、警告表示を回避する方法と今後の展望についてご紹介します。

※本コラムは2020年2月に更新されました。(初出:2017年10月)

警告表示の変遷

2017年1月にリリースされたChrome 56より、非SSL(http)ページ内にパスワードやクレジットカード情報などを入力するフォームがある場合、アドレスバーに「保護されていません/保護されていない通信」という表示がされるようになりました。(詳細:「保護されていません/保護されていない通信」とは

その後、さらに警告表示の対象が拡大され、2017年10月にリリースされたChrome 62より、パスワードなどの入力フォームだけではなく、文字入力フォームに文字を入れようとするだけでこの「保護されていません/保護されていない通信」の警告が表示されるようになりました。サイト内検索用のテキストボックスなども対象となるため、警告を表示されることが格段に多くなりました。

そして、2018年7月にリリースされたChrome 68より、https化されていない全てのサイトに対して強制的に警告が表示されるようになりました。同年10月にリリースされたChrome 70からは、サイト内のテキストボックスなどに文字を入力するだけで警告表示が赤文字に切り替わるようになり、より警告表示が目立つようになりました。(詳細:2018年10月公開のChrome70よりデジサート証明書の失効と赤文字の警告表示が開始

このように2017年1月に始まった警告表示は、主にログイン画面や決済画面などが中心で対象は絞られていましたが、2017年10月のバージョンアップ以降は極めて多くのWebサイトが警告表示の対象となりました。ほとんどのブログサービスやポータルサイトなどにはページ内にテキストボックスがありますし、WordPressでもデフォルトテーマにサイト内検索が含まれているため、非常に多くのWebサイトにインパクトがありました。

2020年1月現在では、2018年10月のバージョンアップから特に変更は無く、全ての非SSL(http)ページは最初から「保護されていません/保護されていない通信」が表示され、テキストボックスなどに文字を入力すると、警告表示が赤文字に切り替わるという仕様が今も続いています。

【2020年2月更新】「保護されていない通信」の表示条件追加に関する情報

2020年2月現在の最新バージョンであるChrome 79において、SSL化されていてもTLS1.0、TLS1.1を利用しているサイトへ接続した場合にも「保護されていない通信」の警告が表示されるようになりました。今後の警告表示方法の予定と対策については以下のコラム記事でご紹介しておりますのであわせてお読みください。

ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは?

警告表示を回避する方法とは?

警告表示を回避するには、サイト運営者がSSLサーバー証明書(以下、SSL証明書)を導入してWebサイトをSSL化(https化)するしか方法がありません。まだ導入していない方は、サイト訪問者を守るため、そして安心してサイトを利用してもらうためにも、SSL証明書をぜひ導入しましょう。詳しい対応方法などは、「常時SSL化(https化)のメリットと必要性とは」の記事をご覧ください。

今後の展望について

ブラウザのアドレスバーに「保護されています/保護された通信」という緑色の表示がなくなり、全てのhttpページにおいて警告表示が行われるようになってからしばらく経ちますが、今後警告表示はどのようになっていくのでしょうか?

最近ではSSL証明書が普及してきたこともあり、SSLに関する様々な誤解も増えてきました。例えば、フィッシングサイト識別のよくある間違いとして、「鍵アイコンが付いていれば安全」という誤解があります。アドレスバーの鍵アイコンはあくまでサーバーとの通信が暗号化されていることを担保しているだけであり、通信先の安全性を担保しているわけではありません。つまり、フィッシングサイトでないことを鍵アイコンが担保してくれるわけではありません。その他にも「鍵の掛かっているアイコンが表示されたので解除しようとして何度もクリックした」というユーザーの誤った行動が紹介されたこともありました。

このように、鍵アイコンは比較的誤解を生みやすい存在であることがわかります。将来的に、鍵アイコンが表示されなくなる可能性もあるかもしれません。これについては「保護されています/保護された通信」の表示が消えたことにも関連しますが、https化が「安全」というスタンスから、https化は「当然/あたりまえ」というスタンスに変化してきているからとも考えられます。

いずれにせよ非SSL(http)サイトで「保護されていません/保護されていない通信」の警告表示が続くことは確実であり、さらに警告が強化されるとしたら全画面に警告が表示されてアクセスできなくなる、ということも将来あるかもしれません。WebサイトのSSL化は常に待ったなしの状態であり、まだ非SSLサイトを運営している方は一刻も早い「常時SSL化」を推奨する状況に変化はありません。

さくらのSSLでは、低価格のDV証明書から信頼性の高いEV証明書まで豊富なラインアップを取りそろえています。また、さくらのレンタルサーバでは、さくらのSSLと連動してコントロールパネルからSSL証明書を自動インストールする機能があります。WordPressユーザー向けには「さくらのレンタルサーバ常時SSL化プラグイン」も提供しており、WebサイトのSSL化をサポートしています。この機会にWebサイトのSSL化をぜひご検討ください。

こちらの記事もあわせておすすめ!

今回はChromeブラウザにおけるhttpサイトの警告表示についてご紹介しました。記事中で触れたフィッシングサイトの見分け方について、詳しく知りたい方は当コラムの「詐欺サイトもSSL化が当たり前?!フィッシング詐欺被害を回避する4つの対策とは?」をご覧ください。また、アドレスバーの表示に関連して、EV証明書の組織名表示に関する「Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは?」もおすすめです。

データ読み込み中...