1万円台の激安ロボット掃除機でも超便利で好コスパ

【偽サイトもSSL化】アドレスの鍵マーク(https)だけではもはや安全ではない

hacke

Webサイトの多くがSSL化されてきている

PCでもスマホでも、Webサイトを見る際はブラウザの上部にアドレスが表示されると思います。
例えば、Chromeで見た当ブログのトップページアドレスは下記の通り。

ssl

アドレスの前の鍵マークは当ブログのドメインがSSLに対応していることを示しています。
SSLに対応しているとサイトとPCやスマホなどの端末間の通信が暗号化されるので、例えば金融のサイトや買い物サイトなど重要情報をやり取りする際は必須。
逆に言えば、SSL化されていないサイトに重要情報を入力するのはとても危険!

絶対に入力してはダメだよ!

インターネットの安全性を重視するGoogleがSSL化を推奨してきたこと、昨年にはSSL化されていないサイトをChromeで見るとアドレスに「保護されていません」と表示されるようになったこと、などから現在では企業サイトの多くはSSL化されているようです。

非SSLサイトの検索順位悪化・保護されていませんとのブラウザへの警告表示
7月に実施されるChromeブラウザのアップデートにより、非SSLサイトは保護されていない旨の表示が開始される。しかし、更に深刻なのは検索エンジンによる順位が悪化していくこと。この流れは止まらないので、早目にSSL化するのが賢明。

また、検索結果への影響も考慮し個人のブログでもSSL化されたサイトが増えています。

今や当たり前になったよね

なお、SSLに対応しているとドメインの最初にhttpsと「s」が付きます。
一方、対応していない場合はhttp。

詐欺サイトもSSL化されているので鍵マークだけでは安全でない

今やSSLだけでは安全と言えない時代

昨日、日経ネットにとある記事が掲載されました。
それが、
HTTPS化示す鍵マーク、もはや信頼の印ではない
です。
会員専用の記事ですが、会員登録すれば無料で月に10記事まで全文読めます。

その中で、

米FBIのインターネット犯罪苦情センターが、「鍵アイコン」あるいは「https」という表示があるだけでWEBサイトを信頼しないでくださいと注意を呼び掛けた。
鍵マークは表示されて当たり前。
安全とは限らない。

などと掲載されています。

更に衝撃的なのが、

現在ではSSL化されたフィッシングサイトが多数出現しており、昨年2018年第3四半期の段階でフィッシングサイトの49%が既にSSL化されていた

と…

1年前で半分なら既に殆どがSSL化されているんじゃないの?

スポンサーリンク

SSLには複数の種類がある

安全と言われてきたのに、なぜこんなことになっているのか?
それを解くカギはSSL化には複数の種類があるです。

そもそもSSL化されていると、サイトと端末間の通信が暗号化されます。
あくまでも、盗聴のように通信を傍受されても平文にならないだけ。
入力してサイトに渡った情報が安全に利用されるとは限らないということ。
サイト運営者に悪意があればいくらでも悪用されてしまいます。

それはその通り…

ここでSSLの種類について見てみます。
現在SSLには3種類があります。
ドメイン認証
組織認証
EVまたはEV SSL
です。

はあくまでもドメインの所有者であることを確認するだけ。
私のドメインもこのタイプ。
誰でも構いませんし、個人でも企業でも組織形態は問いません。
悪意を持っていても構わず…
現在では殆ど無料のようです。

サイト運営者が信頼できるかどうかとは無関係なんだよ

一方、は企業のみ、且つその実在性を認証機関が認証(証明)します。
間違って認証すると認証機関の信用に関わるので、いいかげんな認証はしないでしょう。
もちろん有料。
の違いは認証を「厳格にするかどうか」のようです。

の目的があくまでも通信内容の暗号化の一方、の目的は暗号化に加えてドメインの認証(サイト運営者の信頼性)。
同じSSL化といっても目的が違うので、これら全てに同じhttpsで始まるドメインを与え、鍵マークを表示することに無理があるような…
その内に、「①」⇔「もしくはでマークが変わるかな?

それはそれで混乱も起きるかな?

重要なのは鍵マークが表示されドメインにhttpsが含まれていても、
安心できる運営者のサイトとは限らない
フィッシングサイトなど悪意を持ったサイトかもしれない
と用心することでしょう。

Xサーバーでは3種類全てに対応している

私が利用しているのはXサーバー。
弱小ブロガーには分不相応で過大スペックと言えますが、信頼性が高いことに加え他サーバーと比較して値段もそう変わらないので満足しています。

Xサーバーのエックスサーバービジネスでは前記のドメイン認証(無料)に加え、企業向けの組織認証やEV SSLにも対応。
は19,000円~、は48,000円~。
信用(信頼性)には相応の費用が必要になります…

を契約すると、サイト上に認証機関のサイトシール(認証マーク)を掲載できるようです。