News

2023/10/10 セキュリティ

WEBサイトを見ていてこのような表記を見たことはありませんか?

URLの左に「保護されていない通信」と表示されています。

 

警告のようなマークも出ているので、「個人情報を盗られるのでは?」「ウイルスに感染するのでは?」といった疑念を抱いてしまい、
なんだか危なそうなので、そのWEBサイトから離脱したくなりますね。

 

また、自社のホームページにもこのような警告が出ているけど対策がわからず放置しているということもあるかもしれません。

 

今回は、なぜこのような警告が出ているのか、どうしたら警告を消すことができるのかについてと、その仕組みについて解説していきます。

 

 

結論

「保護されていない通信」と表示されているのは、SSL認証されていないことが原因。

 

アクセスしたWEBサイトがSSL認証されていない、SSL証明書が発行されていないことで、「保護されていない通信」という表示が出てきます。

 

 

SSL認証とは?

SSL(Secure Sockets Layer)認証は、インターネット上でデータを安全に送受信するためのセキュリティプロトコルの一部です。SSLは、データの暗号化と送信元の確認を行うために使用され、WEBサイト、アプリケーション、電子メールなどの通信においてセキュリティを向上させるために広く利用されています。

 

SSL認証を行うのは、SSL認証局という組織でSSL証明書というデジタル証明書を発行します。
この証明書の役割は大きく2つあります。

 

「通信先の実在性の証明」と「通信の暗号化」です。

 

 

通信先の実在性の証明

SSL証明書が発行されたWEBサイトは、その運営者やサーバーが実在していることが証明されます。
これにより偽サイトから個人情報などを盗み出すフィッシング詐欺への対策も行うことができます。

 

つまり、そのWEBサイトが本物かどうかを判定し安全性を保証するのがSSL証明書です。

SSL証明書が発行されたWEBサイトのURLは「https:」から始まり、鍵マークが表示されるようになります。

 

「保護されていない通信」という表示は消えてユーザーも安心してWEBサイトにアクセスができますね。

 

 

通信の暗号化

SSL証明書が発行されたWEBサイトとの通信は「暗号化」が行われ、暗号化通信に必要な鍵のデータがSSL証明書に入っています。

 

通信が暗号化されていない場合、例えばログイン画面で入力したIDやパスワードなどの情報が、そのままインターネット上に流れていきます。
悪意のある者がこの情報を取得してしまえば、勝手にユーザーのアカウントにログインすることができてしまうのです。

 

SSL証明書を発行し通信を暗号化することで、仮に通信内容を取得されても、その暗号を解読することは困難になり、個人情報などの漏洩を防ぐことができます。

 

 

暗号化通信の仕組み

暗号化通信には様々なアイテムが必要です。
ユーザー(ブラウザ)、サーバーがそれぞれのアイテムを使って暗号化通信を行います。
アイテムは「証明書」と「鍵」です。
「鍵」は「錠」とセットになっていると考えると理解しやくすくなります。

 

アイテムは下記の通りです。

 

暗号化通信に必要なアイテム

ユーザー(ブラウザ)のアイテム

  1. ルート証明書:SSL証明書の一部です。この証明書の情報があらかじめWEBブラウザに登録され、この証明書とサーバーから送られてくるSSL証明書を照合します。

 

サーバーのアイテム

  1. 「SSL証明書」:ユーザーのブラウザに渡され、「ルート証明書」と照合されます。
  2. 「公開鍵」:SSL証明書と共に、ブラウザに送られる鍵(錠)です。この鍵(錠)は「秘密鍵」でしか解錠できません。また「公開鍵」を使ってユーザー側で「共通鍵」に鍵をかけます。
  3. 「秘密鍵」:「公開鍵」の錠を解錠するための鍵です。

 

これらのアイテムを使って暗号通信を行います。

 

 

暗号化通信の流れ

①ユーザー(ブラウザ) → サーバー
・WEBサイトにアクセス

 

②サーバー → ユーザー
・SSL証明書と公開鍵(錠)を送る

 

③ユーザー(ブラウザ) → サーバー
・ルート証明書とSSL証明書を照合する
・共通鍵を生成し、公開鍵(錠)でロックしてサーバーに送る

 

④サーバー
・公開鍵(錠)のロックを秘密鍵を使って解錠し、共通鍵を受け取る

 

このような流れで共通鍵が安全に二者間のみで共有されました。
このあとは、お互いの共通鍵を使って暗号化通信が行われます。

 

鍵をかけるということが「暗号化」を意味し、「保護されていない通信」とは「暗号化されていない通信」という意味になります。
SSL証明書により暗号化通信が行われることで、保護された通信となります。

 

WEBサイトにアクセスしてからページが開くまでにこのようなやり取りがなされているのです。

 

 

SSL認証の種類

SSL認証には無料と有料があります。
どのような特徴があるのか見ていきましょう。

 

費用

無料SSLはもちろん無料で利用できます。
有料SSLは年間数千円〜数十万円のものがあります。

 

暗号化

暗号化通信の強さは無料でも有料でも違いはありません。
暗号化通信についてはどちらを選んでも問題ないということになります。

 

証明書

SSL証明書の役割のひとつに「通信先の実在性の証明」がありますが、
無料と有料では、この信頼性レベルに違いがあります。

 

証明書の信頼性レベル

無料SSLと有料SSLには証明書の信頼性レベルに違いがあります。
SSL証明書の認証レベルの違いを見ていきましょう。

 

  • DV:ドメイン認証(無料 /有料あり)
  • OV:企業認証(有料)
  • EV:企業認証(有料)

 

DV(Domain Validation)ドメイン認証

 

  • 費用:◎
  • 信頼度:△
  • セキュリティ:◯

 

ドメイン名の有効性を認証して発行されるドメイン認証型のSSL証明書です。
SSLの申請者がドメインの所有者であることを証明するもので、その所有者が企業なのか個人なのかといった確認はされません。
そのため、証明書の信頼性としては最も低いものになります。

 

無料証明書と有料証明書の両方があり、セキュリテイ面では無料、有料ともに大きな差はありません。

 

個人で所有するWEBサイトをSSL化する場合にはDV認証で十分でしょう。
レンタルサーバーで無料で行うことができるSSL化はDV認証です。

 

 

OV(Organaization Validation)企業認証

 

  • 費用:△
  • 信頼度:◯
  • セキュリティ:◯

 

ドメイン所有者である企業や団体が、実際に存在していることが必要な証明書です。
DV認証と違い証明書情報にはWEBサイトを運営する団体や企業の情報が記載されます。個人での利用はできず企業や団体のみに発行されます。

 

企業や団体が存在しているかの確認が電話で行われ、企業の登録事項証明書などの確認が必要です。
そのため、DV認証よりも信頼性の高い認証となります。

 

有料のみとなります。

 

 

EV(Extend Validation)

 

  • 費用:△
  • 信頼度:◎
  • セキュリティ:◯

 

ドメイン所有者である企業や団体が、実際に存在していることが必要な証明書です。
この点はOV認証と同じですが、より厳しい審査が行われ、認証を取得が厳しい証明書です。
そのため、OV認証よりもより信頼性の高い認証となります。

 

このようなことから、金融機関やECサイトなどクレジットカード情報や個人情報を扱いWEBサイトで採用される場合が多い認証です。

 

有料のみとなります。

 

 

SSL認証のメリット

SSL認証はデータのセキュリティとプライバシーを保護し、WEBサイトやアプリケーションの信頼性を高め、ユーザーエクスペリエンスを向上させるためのセキュリティ対策であることがわかりました。

 

下記にメリットをまとめました。

 

  • データの暗号化:
    SSL認証により、データの送信と受信が暗号化されます。これにより、データがネットワーク上を移動する際に、第三者がデータを傍受しても理解できなくなります。ユーザーの個人情報、パスワード、クレジットカード情報などの機密データを守ります。

 

  • 信頼性の向上:
    SSL認証を導入することで、WEBサイトやアプリケーションの信頼性が向上します。訪問者は、SSLが有効なサイトは安全であると認識しやすくなります。ブラウザのアドレスバーに表示される鍵アイコンや「https://」の表示が、信頼性を示すシンボルとなります。

 

  • SEO向上:
    主要な検索エンジン(例: Google)は、SSLを導入したサイトを評価し、SSLを使用しないサイトよりも高いランキングを付けることがあります。SSLを導入することで、WEBサイトの検索エンジン最適化(SEO)にもプラスの影響を与える可能性があります。

 

  • 信頼性とプロフェッショナリズム:
    SSL認証を導入することは、WEBサイトやオンラインサービスの信頼性とプロフェッショナリズムを高めます。訪問者はセキュリティを重視し、安心して情報を提供することができます。

 

  • ブラウザの警告回避:
    SSL認証を導入しない場合、一部のブラウザは「保護されていない通信」と警告を表示することがあります。SSLを使用することで、このような警告を回避できます。

 

  • データの完全性の保持:
    SSL認証はデータの完全性も保持します。データが送信元から受信先まで途中で改ざんされていないことを確認し、データの信頼性を保つ役割も果たします。

 

  • 法的要件への適合:
    一部の業界や国では、個人情報や金融情報を扱うWEBサイトでSSL認証を使用することが法的に必要とされる場合があります。SSLを導入することで法的要件に適合できます。

 

 

WEBサイトをSSL化しよう!

WEBサイトのSSL化は様々な点でメリットがあり、逆にSSL化していないことでデメリットが大きくなります。

 

現在お持ちの自社のホームページに「保護されていない通信」と表示されている場合には是非一度ご相談ください。

 

弊社ではSSL対応のホームページ制作を承っています。
豊富なテンプレートから選択いただけ、初期費用を抑えたホームページ制作が可能なプランから、
完全オリジナルで制作するプランまでご用意しております。

 

どんな些細なことでもまずはお気軽にご相談ください。

https://web-design-pro.com/contact

 

弊社の制作事例も是非ご覧ください。

https://pro-free.com/web/