社長!!ちょっと、こちらをご覧ください。
URLの左側に赤字で「保護されていない通信」と記載されています。
ホームページを見たときに、こんな事が書いてあるとどんな風に思いますか??
そりゃ、「保護されていません」なんて表示されてたら、なんとなく怖いよね。
「流出」とか、ニュースでよく聞くもんね。(;^^)
そうですよね。個人情報を送るときって、少し慎重になってしまいますよね。
実はGoogle が、近い将来全ての「http://」のWeb サイトに対して警告を表示するとことを公式に発表しています。すでに一部のブラウザでは、表示されはじめているんですよ。
え!?うちの会社のホームページも「http://」だよ!
こんな警告が出ちゃうようになるっていうこと?
はい。残念ながら、2017年10月から「保護されていません」の警告が表示されるようになってしまいます。
でも!まだ大丈夫です。今のうちに、「保護された通信」と表示される安心なホームページになるように対策してみませんか?
その話!詳しく聞かせて!
ご不明点などございましたら、担当者までお気軽にお電話ください。(担当:川上・斎藤・高橋・山本)
Googleのアルゴリズム変更により、2017年1月(Chrome 56)より、パスワードやクレジットカード、住所などの個人情報を転送するSSL未対応(HTTP) サイトは安全でないことが明示されるようになりました。
これは、すべてのSSL未対応(HTTP)サイトを安全でないものと明示する計画の一環です。
闇サイト“ダークウェブ”というタイトルで危険なWebサイトのことが紹介されていました。
この番組の解説ではカード所有者が個人で情報流出を防ぐことができないのだが、ネットショッピングで注意する点はないか。
ゲストの慶應大・土屋大洋教授は「ホームページはhttpで始まりますが、httpsとsがついているものがあります。sはセキュリティーの意味ですから、最初にこれが付いているかどうかをチェックするといいですね」と触れられています。
最近ランサムウェア(ウィルスのひとつ)の被害が増えてきて、一般のテレビ局でも、ワイドショーのような番組の中でもこのようなコメントは出るようになりました。
Googleは、2017年10月24日リリース予定のChrome 62において、入力欄のあるSSL未対応(HTTP)のサイトのウェブページに情報を入力した場合と、シークレットモードでSSL未対応(HTTP)サイトのすべてのウェブページを表示した場合に、「安全ではない」と表示することを発表しました。
Googleでは1月リリースのChrome 56の変更に加えて、Chrome 62ではこれを拡大し、「安全ではない」との警告を表示する対象を、例えば検索欄などを含むすべての入力欄を持つHTTP接続のウェブページに拡大するとのことです。
また、シークレットモードでは、入力欄の有無を問わずすべてのウェブページが警告表示の対象とります。
シークレットモードを利用するユーザーはセキュリティに関心が高いユーザーと考えての対応と思われます。
今回のニュースからGoogleが1年経たずにSSL非対応サイトへの対策をしていて、この動きは加速する可能性があることがうかがえます。
重要なのはGoogleが確実にSSL対応推奨の流れを確実に推し進めているということです。
現在警告が出ているのはGoogle Chromeのみですが、現在のブラウザシェア率は下図のとおり39%と群を抜いております。
また2009年から2015年のブラウザ利用率の推移で見ると、下図のとおりInternetExplorer(以下IE)が70%のシェアから32%まで半減、その中緑色のChromeは上昇を続けております。
この傾向は今後も続くとみられ、IEは下がりChromeは上がる予想の中では、SSL対応は必須の動きになってきます。
シェア率で追い上げるFirefoxでも、URL横の【!ボタン】を押すと既に赤字での表示が始まっており、ブラウザシェア率を上げていきたい運営元のmozillaとしても、Chromeを追随して常時警告を出していく流れになりそうです。
ご不明点などございましたら、担当者までお気軽にお電話ください。(担当:川上・斎藤・高橋・山本)
そもそも「http://」 や「https://」 とはなんなのでしょうか。
ものすごく簡単にいうと、「ホームページを表示するための世界共通のルール」です。「ホームページを見るときに、アドレス(URL) の最初に必ず付けないといけないもの」くらいの認識の方もいらっしゃるかもしれませんね。決して間違えていません。ホームページを閲覧する上では欠かせないルール(約束事)なのです。
HTTPS は、HTTP にSecure(セキュア)の「S」を追加したものです。「https://」の場合は、データのやりとりをセキュア(=暗号化)な状態で通信していますよ、ということです。
逆にいうと、「http://」 は暗号化されていないデータをそのままやりとりしている状態です。
よく似ているので大した違いはないんじゃないの。と思われがちなのですが、「S」があるのとないのとでは大違い。これだけ聞くと、「http:// よりhttps:// のほうがセキュアなんだしイイに決まっている!」と思うのですが、現状では、http で運営されているサイトのほうが圧倒的に多いです。
では、HTTPS で通信データが暗号化できていれば「安全」なのでしょうか?実は、必ずしも「安全」だとは言えないのです。
ホームページ上から商品を購入する場合を想定してみましょう。まず、ホームページで商品を買うときに、個人情報やクレジットカード情報を入力するページが「https://」 から始まる暗号化されたページであることを確認するでしょう。個人情報などの重要な情報は、暗号化通信がされていないと不安ですよね。
「よしよし。「https://」 から始まっている。アドレスバーにエラーがでてるけど、「https://」 のホームページだから安全だわ。このまま進めよう!」
いや!ちょっとまって。ほんとにそのまま進んじゃっても大丈夫なんでしょうか?データを渡す相手ってほんとに信用できる会社なの?本物なの?疑いだしたらキリがないですが、自分の情報を守るためには重要なことです。
この場合、ポイントとなるのは「アドレスバーにエラーがでている」ということ。これは、ブラウザが「今、アクセスしているサイトは大丈夫?」と警告をだしてくれているのです。「https://」で暗号化しただけでは「保護されていません」の警告を消すことはできないんです。ではどうすればいいか?答えは「SSL 証明書」にあります!
「https://」によるSSL 暗号通信のみでは、「保護された通信」とは表示されないのは、すでに記した通りです。これはブラウザがなりすましなどの犯罪を防止するにあたり、警告を出しているためです。この警告を消すためには、ホームページが本物であり、運営企業も本物であることを証明する必要があります。その証明のために発行されるのが、「SSL 証明書」です。
「SSL 証明書」は、「認証局」と呼ばれる第3 社の会社によって発行されます。その認証局が、その証明書を使う組織がどういうところか調査したうえで、作成し、提供します。そして、調べた結果を証明書の中に情報として含めます。
存在さえすれば、誰が申し込んできても提供してよいかというと、そうではありません。偽サイトを立てるかもしれない人に提供してしまうリスクがあるので。証明書を提供する会社は、本物であると確認できた、あるいは、本物から確かに代理を受けた者に限られています。
このようなやり方で取得された SSL 証明書を ホームページに使用することで、その証明書を見た訪問者は、「誰が運営しているホームページか、それは自分が取引しようとしている会社であるか」が確認できるようになります。平たく言えば、存在確認をしている証明書であれば、本物か偽物かの判断の目安になるわけです。
企業認証よりも厳格な審査を経てから発行されます。
ブラウザのアドレス欄がグリーンになり、金融機関などの信頼性が重視される企業でも多く採用されています。
組織情報の審査を経てから発行されるSSL 証明書です。
組織情報の確認や、認証局からの電話を受けてからSSL 証明書が発行されるため、サイト運営者のなりすまし防止を証明することができます。発行されたSSL証明書の属性には、組織情報が記載されます。
ドメインの管理権限を元に発行されるSSL 証明書です。
組織情報の確認や、認証局からのお電話を受けること無くSSL 証明書の発行が可能です。発行されたSSL 証明書の属性には、組織情報が記載されません。
ご不明点などございましたら、担当者までお気軽にお電話ください。(担当:川上・斎藤・高橋・山本)
ご不明点などございましたら、担当者までお気軽にお電話ください。(担当:川上・斎藤・高橋・山本)