Webサイトの多くがSSL化されてきている
PCでもスマホでも、Webサイトを見る際はブラウザの上部にアドレスが表示されると思います。
例えばChromeで見た当ブログのトップページアドレスは下記の通り。
アドレスの前の鍵マークは当ブログのドメインがSSLに対応していることを示しています。
SSLに対応しているとサイトとPCやスマホなどの端末間の通信が暗号化されるので、例えば金融のサイトや買い物サイトなど重要情報をやり取りする際は必須。
逆に言えば、SSL化されていないサイトに重要情報を入力するのはとても危険!
絶対に入力してはダメだよ!
インターネットの安全性を重視するGoogleがSSL化を推奨してきたこと、昨年にはSSL化されていないサイトをChromeで見るとアドレスに「保護されていません」と表示されるようになったこと、などから現在では企業サイトの多くはSSL化されているようです。
検索結果への影響も考慮し個人のブログでもSSL化されたサイトが増えています。
今や当たり前になったよね
なおSSLに対応しているとドメインの最初にhttpsと「s」が付きます。
一方で対応していない場合はhttp。
詐欺サイトもSSL化されているので鍵マークだけでは安全でない
今やSSLだけでは安全と言えない時代
昨日、日経ネットにとある記事が掲載されました。
それが、
HTTPS化示す鍵マーク、もはや信頼の印ではない
です。
会員専用の記事ですが、会員登録すれば無料で月に10記事まで全文読めます。
その中で、
米FBIのインターネット犯罪苦情センターが、「鍵アイコン」あるいは「https」という表示があるだけでWEBサイトを信頼しないでくださいと注意を呼び掛けた。
鍵マークは表示されて当たり前。
安全とは限らない。
などと掲載されています。
更に衝撃的なのが、
現在ではSSL化されたフィッシングサイトが多数出現しており、昨年2018年第3四半期の段階でフィッシングサイトの49%が既にSSL化されていた
と…
1年前で半分なら既に殆どがSSL化されているんじゃないの?
SSLには複数の種類がある
安全と言われてきたのに、なぜこんなことになっているのか?
それを解くカギはSSL化には複数の種類があるです。
そもそもSSL化されていると、サイトと端末間の通信が暗号化されます。
あくまでも盗聴のように通信を傍受されても平文にならないだけ。
入力してサイトに渡った情報が安全に利用されるとは限らないということ。
サイト運営者に悪意があればいくらでも悪用されてしまいます。
それはその通り…
ここでSSLの種類について見てみます。
現在SSLには3種類があります。
①ドメイン認証
②組織認証
③EVまたはEV SSL
です。
①はあくまでもドメインの所有者であることを確認するだけ。
私のドメインもこのタイプ。
誰でも構いませんし個人でも企業でも組織形態は問いません。
悪意を持っていても構わず…
現在では殆ど無料のようです。
サイト運営者が信頼できるかどうかとは無関係なんだよ
一方で②と③は企業のみ、且つその実在性を認証機関が認証(証明)します。
間違って認証すると認証機関の信用に関わるので、いいかげんな認証はしないでしょう。
もちろん有料。
②と③の違いは認証を「厳格にするかどうか」のようです。
①の目的があくまでも通信内容の暗号化の一方、②と③の目的は暗号化に加えてドメインの認証(サイト運営者の信頼性)。
同じSSL化といっても目的が違うので、これら全てに同じhttpsで始まるドメインを与え、鍵マークを表示することに無理があるような…
その内に「①」⇔「②もしくは③」でマークが変わるかな?
それはそれで混乱も起きるかな?
重要なのは鍵マークが表示されドメインにhttpsが含まれていても、
①安心できる運営者のサイトとは限らない
②フィッシングサイトなど悪意を持ったサイトかもしれない
と用心することでしょう。
Xサーバーでは3種類全てに対応している
私が利用しているのはXサーバー。
弱小ブロガーには分不相応で過大スペックと言えますが、信頼性が高いことに加え他サーバーと比較して値段もそう変わらないので満足しています。
Xサーバーのエックスサーバービジネスでは前記①のドメイン認証(無料)に加え、企業向けの②組織認証や③EV SSLにも対応。
②は19,000円~、③は48,000円~。
信用(信頼性)には相応の費用が必要になります…
②や③を契約すると、サイト上に認証機関のサイトシール(認証マーク)を掲載できるようです。
