みなさん、こんにちは!
ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。
このサイトでは、ITについて特化したサイトを運営しています。
今回は、ウェブサイトを閲覧しているときに表示される、
- このサイトは安全ではありません。
- この接続ではプライバシーが保護されません。
- 安全な接続ではありません
という表示。
突然赤い文字で表示されるので、びっくりする方もいるでしょう。
今回は、こうしたエラーのために表示できなくなる原因と、対処方法を紹介します。
ユーザー側で対処できることもありますが、多くの場合はサーバー側の設定ミスや、SSLの期限切れが原因です。
目次
コンピューターウイルスではない!
初めに書いておきますが、コンピューターウイルスではないです。
サーバー側の設定の問題(管理不足)が問題であって、ウイルス感染した時の挙動とは全く異なります。
「このサイトは安全ではありません」なんて書かれると焦ると思いますが、インターネットの仕組みから、このエラーが表示される原因を説明していきます。
SSL証明書の認証に失敗した時の警告文
URLには、
- http://
- https://
があるのは知っていますか?
「http://~」の場合には、暗号化されていない平文で通信されています。
一方、「https://~」の場合には、暗号化されたSSL通信が有効になります。
そして、SSL通信を行うには、認証局(CA)に、ドメインなどの認証を受けて、SSL証明書を発行してもらわないといけません。
SSL証明書には有効期限があり、有効期限が切れる前に更新が必要です。
サーバー管理者が、そのSSL証明書の更新を怠った場合、認証局が「そんなサイト認証してないけど?」とエラーをすることで、「このサイトは偽物だ!」とブラウザが反応し、接続をブロックします。
流れを見ていきましょう。
※直感的イメージを重視しているので、細かい表現の違いについてはご理解ください。
まずは、アクセスしたいサーバーに、SSL証明書の提示を求めます。
サーバーには、期限切れの証明書しかないので、仕方なくアクセスもとに期限切れのSSL証明書を送り返します。
受け取ったパソコンは、この証明書正しいのかな?と疑問に思います。
そこで、インターネットの世界では偉い立場の認証局(CA)に、証明書の正当性を確認しに行きます。
認証局(CA)では、当然期限切れの証明書情報なんて管理対象外です。
「そんな証明書は知らない」と返します。
するとパソコンは、認証局(CA)には存在しない、架空の証明書だ!
これは詐欺だ・・・!
と反応し、「安全ではありません」と赤字の警告文を出します。
「安全ではありません」の対処方法
基本的にサイトを閲覧する立場での対処方法はありません。
サーバー管理者が、サーバーのSSL証明書の更新を行っていないから生じるエラーです。
認証局(CA)についても、インターネット上の公共機関であり中立的な立場ですから、何らかの操作も行えません。
結論、待つしかないです。
サイバー犯罪が増えている中、ユーザーのプライバシーを守るためにも、暗号化されたSSL通信が標準となりつつあります。
しかし、証明書の更新漏れなど、サーバー管理者側のミスで、自サイトに「安全ではありません」と赤字で表示され、ユーザーに不安を与えてしまいます。
サーバーを管理する立場としては、SSL証明書の更新漏れは、絶対に避けるべき必要があります。
各ブラウザの警告文を紹介
SSL通信に失敗した場合、ブラウザごとに異なる警告文が表示されます。
Edge
Edgeの警告文は次のようになっています。
Edgeの警告文を抜き出してみます。
このサイトは安全ではありません
だれかがユーザーを騙そうとしているか、サーバーに送信されたデータを盗み取ろうとしている可能性があります。このサイトをすぐに閉じてください。
Edgeの場合には、なかなかインパクトのある表現が使われています。
安全ではないっていうか、SSL証明書が期限切れで接続先の認証ができなかったというだけなんですよね。
もちろん、架空のSSL証明書で架空サイトへの誘導の危険性もあり、こうした表現なのだとは思いますが、それにしてもパンチのある表現です。
Google Chrome
GoogleChromeの場合には、次のような警告文が表示されます。
Google Chromeの警告文を抜き出してみます。
この接続ではプライバシーが保護されません
●●●.comでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。
一行目の「この接続ではプライバシーが保護されません」というのは、SSLの暗号化が行われないことを示す直接的な表現です。
https://~になっているけど、SSLの暗号化はできてないぞという意味ですね。
2行目の「●●●.comでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。」については、先ほど説明した架空のSSLの証明書により、架空サイトへ誘導されている可能性を示しています。
なお、「クレジットカードなどの情報が盗まれる可能性があります。」とありますが、実際にはSSL接続が成功しても、相手が詐欺サイトだったなんてことは起こります。
SSL証明書には、一番審査の緩いドメイン認証型というものがあり、ドメインの所有権さえ確認できれば、SSL証明書が発行されます。
これからは、https://~の南京錠マークだけではなく、ドメインを確認して、架空の詐欺サイトに悪静止していないか、自分の目でもしっかり確認することが大事です。
詳細は、「SSL暗号化通信とSSL証明書の違い」記事をご覧ください。
Firefox
最後に、Firefoxの場合には次のような警告文が表示されます。
Firefoxの表現が一番正確な感じがしますね。
Firefoxの警告文を抜き出してみます。
安全な接続ではありません
●●●.comの所有者によるウェブサイトの設定が不適切です。あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
一行目の「安全な接続ではありません」については、もう説明の必要はないでしょう。
2行目の「●●●.comの所有者によるウェブサイトの設定が不適切です。」というのは、サーバーがSSLの暗号化アルゴリズムに対応していないことを説明しています。
最後の、「あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。」については、SSLの証明書が無効であることから、架空サイト、詐欺サイトへアクセスしている可能性を表現している部分です。
まとめ
ここまで、「このサイトは安全ではありません」や「この接続ではプライバシーが保護されません」、「安全な接続ではありません」のエラーの意味と対方法について開設してきました。
基本的にはサーバー側のミスであり、訪問したユーザーのミスではありません。
また、ウイルス感染とも関係のない警告文ですから、そのあたりも安心してください。
もしサイトの運営者様が当記事をご覧になっているのであれば、このようなユーザーの不安をあおるようなエラーが表示される状態は防ぎましょう。
こうしたエラーを表示させないためには、サーバーの移転時には、SSL接続についての動作確認は必須です。
また、日常的にも、SSL証明書の有効期限には注意しましょう。
当サイトで公開しているSSL暗号化通信の記事です。
SSL暗号化通信には、公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド暗号化通信が採用されており、暗号化された通信経路の確立までの流れを説明しています。
SSL暗号化の南京錠マークが表示されていても詐欺サイトの可能性はあります。
SSL暗号化通信とSSL証明書は全く別物なので、セキュリティ意識を高めるためにも、ぜひ確認しておいてください。
以上、参考になれば幸いです。