ベストプラクティス 07-20-2018

Chromeで「保護されていない通信」の警告が表示される理由と対策を説明します

Dean Coclin
Blog | DigiCert

最終更新日:2020年10月

Google Chromeブラウザのバージョン68には、安全でないWebページにアクセスした際に「保護されていない通信」という警告をアドレスバーに表示する機能が新たに導入されました。最新版のChromeでは、そのメッセージをクリックすると、「このサイトへの接続は保護されていません」と説明するポップアップが表示され、サイト上で機密情報を入力しないようにという警告が表示されます。

「保護されていない通信」という警告は、そのページへの接続にセキュリティが欠如していることを意味します。そのページで送受信される情報は保護されておらず、攻撃者やハッカー、インターネットインフラにアクセスできる団体(インターネット サービスプロバイダー(ISP)や政府など)によって、盗まれたり、読み取られたり、変更されたりする可能性があることを警告しています。「保護されていない通信」の警告は、お客様のコンピューターや閲覧しているサイトがマルウェアに感染していることを意味するものではなく、そのページとの安全な接続ができていないことを警告するためだけのものです。

ウェブサイトの所有者には、サイトのセキュリティを確保する責任があります。サイト訪問者は「保護されていない通信」の警告を変更することはできませんが、サイトの所有者にセキュリティ対策の実施を要求することはできます。この記事では、「保護されていない通信」という警告の背後に何があるのか、そしてサイトの所有者や訪問者がそれを修正するために何ができるのかを説明します。

まずブラウザによって、警告の表示方法が異なることに注意してください。Chrome、Safari、Firefoxでの「安全な接続ができていないこと」を警告する表示は以下のようになります。

Chromeにおける「安全な接続ができていないこと」を警告する表示

Not Secure warning in Chrome

Safariにおける「安全な接続ができていないこと」を警告する表示

Not Secure warning in Safari

Firefoxにおける「安全な接続ができていないこと」を警告する表示

Not Secure warning in Firefox

HTTP→「安全な接続ができていない」、HTTPS→「安全な接続ができている」

安全でないウェブサイトでは、HTTPプロトコルを使用するすべてのページに「安全な接続ができていない」という警告が表示されます。歴史的に、HTTPはインターネット通信の主要なプロトコルとして使用されていました。

ここ数年、ウェブサイトはHTTPS(Sは "secure "の略)に移行しつつあります。HTTPSは暗号化(および認証)を行うもので、Google、Facebook、Amazonを含む何百万ものウェブサイトで使用されており、閲覧、ログイン、購入の際にお客様の情報を保護しています。

ウェブサイトによっては、安全なHTTPS接続をサポートしているのは一部のページだけで、すべてのページでサポートしていない場合があります。このような場合、安全でないページにのみ「安全な接続ができていない」という警告が表示されることがあります。

HTTPを使用しているウェブサイトの訪問者または所有者/運営者の方で、この警告が表示されている場合は、次のように対処してください。

サイトの所有者/管理者の方へ

「安全な接続ができていない」という警告は、安全ではないプロトコルであるHTTPで提供されているページに表示されています。自分が所有または運営しているサイトで、この警告が表示されている場合は、サイトのHTTPSプロトコルを有効にすることで解決することができます。

HTTPSは、TLS/SSLプロトコルを使用して、暗号化と認証の両方が行われる安全な接続を提供します。HTTPSを使用するには、TLS/SSL証明書を取得し、ウェブサーバにその証明書をインストールして、HTTPSプロトコルを有効にする必要があります。

あなたがサイトの技術管理者や開発者であれば、まず、現在HTTPSをサポートしているかどうかを確認する必要があります。部分的にサポートしているサイトとは、サイトの一部に HTTPS を導入しているか、標準では HTTPS でサイトを提供することを選択していないことを意味します。いずれの場合も、サイト全体にHTTPSを導入するためには、どのような手順で行う必要があるかを確認しましょう。HTTPS Everywhere の設定に関するガイドを参照してください。

HTTPS をまったく導入していない場合は、まず証明書ウィザードを使用して、必要なTLS 証明書を確認してください。必要なTLS証明書は、運営しているドメイン名の数や、ユーザーの信頼性を高めるためにビジネスの有効性を確認できるようにしたいかどうかによって異なります。次に、『HTTPS Everywhere』のガイド を参照し、HTTPS をサポートするために必要な手順を行って下さい。

Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari を含む、すべての主要なウェブ・ブラウザは、安全でないページを警告するユーザー・インターフェイスを備えていますので、セキュリティ上の利点と最適なユーザー・エクスペリエンスの両方において、HTTPSをサポートすることは重要です。さらに、多くの新しい ウェブテクノロジーでも HTTPS は必要とされており、これらの技術の中には、ウェブサイトのパフォーマンスを向上させるものもあります。

サイト訪問者の方へ

「安全な接続ができていない」との警告が表示される理由は、あなたがご覧になっているウェブページやウェブサイトが暗号化された接続を提供していないためです。Chromeブラウザがウェブサイトに接続する際には、HTTP(安全でない)またはHTTPS(安全である)のいずれかを使用できます。

HTTP接続を行うページでは、「保護されていない通信」という警告が表示されます。これらのページでは、ログインしたり、個人情報や支払い情報を提供するなど、機密性の高い取引は行わないようにしてください。また安全でないサイトを閲覧すると、あなたの国では危険であったり、容認されていない情報を閲覧することになり、危険な目に遭う可能性があります。

あなたは、この警告の原因を解決することはできません。この問題を解決する唯一の方法は、ウェブサイトの運営者がTLS証明書を取得し、サイトでHTTPSを有効にすることです。これにより、あなたのブラウザがHTTPSプロトコルで安全に接続できるようになります。ウェブサイトが適切に設定されていれば、ブラウザは自動的に接続します。

よく利用するサイトで「安全な接続ができていない」の警告が表示されている場合は、そのサイトに連絡し、HTTPSへの対応を開始するように依頼してください。またサイトによっては HTTPS を部分的にサポートしていても、標準では提供していない場合があるので、あなた自身が、手動でURLの HTTP の部分を HTTPS に置き換えてみることもできます。

なお、レシピを見たりニュースを読んだりするようなHTTP経由の基本的なブラウジングであっても、あなたの見ているものは、ISPや政府などの組織によって監視、変更、記録される可能性があります。これは、そのようなページを閲覧する際に、事実上、プライバシーがないことを意味します。コーヒーショップや空港などの公共のWi-Fiネットワークでは、そこにいる攻撃者(そのネットワーク上の他のコンピュータ)が、あなたが見ているページ、送信した情報、検索した内容などを閲覧・監視できるという、さらなるリスクがあります。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失