Webサイトをチェックしていると、たまに、セキュリティソフトにブロックされることがあります。ちょうど上のトップイメージのような画面になり、サイトへアクセスをきびしく警告されます。もちろん、アクセスしようと思えばできなくはないのですが、やはり警戒心が湧きます。
なぜ、「信頼できないWebサイト」とされるのか
セキュリティソフトがブロックするのは、警察庁がフィッシングその他悪質な偽装サイトと指定している場合です。しかし、今回のように、犯罪に関係なくても、「信頼できないWebサイト」としてブロックしてしまうことがあります。
警告文にある「Webサイトの所有者が証明書を更新していない」とは、いったい、どういうことでしょうか?
セキュリティソフトは、対象のサイトのSSL証明書が有効かどうかを判定しています。
SSL(Secure Sockets Layer)とは、インターネット上のウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組み(プロトコル)です。SSL通信はサーバセキュリティの基本中の基本です。
このSSL通信が設定され、暗号化通信ができること、かつ、サイト運営者の実在することを証明するのが、SSL証明書です。正式にSSL証明書が付与されると、アドレスに s がつき、
https://~
となります。 逆にsがなく、単に http://~ になっている場合は、正規のSSL通信が確立していないということです。
「信頼できない」とされるWebサイトは、以下の3つの場合が考えられます。
- 偽装サイトである。
- SSL証明書の期限が切れている。
- SSL通信が設定されていない。
2と3は悪意のないミスかもしれません。経験からいうと、2と3は、日本の中小企業に多い気がします。
ただ、これを放置すれば、通信されるデータ内容を盗み見られたり、なりすましや改竄(かいざん)の被害を受ける危険性が高くなります。
図1 SSL通信でデータの流出、なりすまし、サイト改竄を防ぐ
では、自分のホームページがSSL通信になっているか、確認するにはどうしたらいいのでしょうか?
セキュリティソフトがなくても、簡単に調べることができます。
ふつうに自社ホームページにアクセスし、ブラウザ上部のアドレス欄にご注目ください。
「保護されていない通信」または「セキュリティ保護なし」という警告が出ていないか、確認します。
図2 Google Chromeでの警告
図3 Edgeでの警告
「保護されない通信」もしくは「セキュリティ保護なし」となっているホームページで、顧客に資料請求やお申し込みをしてもらったり、見積もりシミュレーションを使ってもらうのは危険です。
今一度、ご自分のサイトに、「保護されていない通信」または「セキュリティ保護なし」という警告が出ていないかお確かめください。
「保護されていない通信」の解消のしかた
これはWebサーバの問題なので、ご契約されているサーバの管理画面にアクセスし、SSL通信を設定すれば、問題は解消します。
なお、SSL証明書には、無料のものと有料のものがあります。
クレジットカード番号などとくにセンシティブな情報を扱うのでない限り、無料SSLで問題ありません。
ただし、お使いのホスティングサービスによっては、無料SSLが利用できない場合もありますので、ご注意ください。
無料SSLで大丈夫か、とご心配かもしれません。
大丈夫です。
無料SSLとして普及している Let's Encrypt は、Google や Amazon などの大手IT企業をスポンサーとする、NGO ISRG(Interner Security Research Group)が提供するシステムです。システムが自動化され、かつオープンであるため、スピード導入が可能です。
ちなみに、有料SSLを提供するセキュリティ企業は、サイト運営者の実存性の認証に手間をかけるため、有料となります。
ところで、作業者はサーバの設定をいじることになるので、サーバに関する知識やスキルがない人にSSLの設定を任せないでください。必ず、実際の作業者にサーバの知識やスキルがあるかお確かめのうえ、ご依頼ください。
適当な作業者が見つからなければ
もし、周囲に適切な作業者が見当たらない場合は、弊社にご相談ください。
有料(22,000円~)で承ります。
コメント (0 件)
コメントはまだありませんが、ご遠慮なく。