iPhone「安全ではありません」と表示された場合

アイキャッチ画像 WEB開発

WEBサイトを観覧していてアドレスバーに「安全ではありません」と表示されたことはないでしょうか? この問題と解決策について書かれた記事になります。

安全ではありませんと表示される理由

この表示が出るのは iOS や macOS の Safari(ブラウザ)でWeb サイトを観覧した際、安全ではないサイトに表示されるものです。具体的に何が安全ではないのかというと、パスワードや個人情報を入力されるサイトの場合、その情報内容が盗み見られる可能性が非常に高いことが挙げられます。

いつからこの表示がされるようになったか

他のサイトでは iOS12.2 からと書いてあるサイトが多いように感じますが、正確には iOS 11.3macOS 10.13.4 からだと思います(公式ページにそのように言及されています)。

Safari 以外のブラウザを使っている場合

Safari ブラウザで WEB サイトにアクセスした場合は「安全ではありません」と表示されますが、他のブラウザを使っている場合はアドレスバーを確認してアドレスの最初が「http://」で始まっているのか「https://」で始まっているのかで確認できます。

  • http:// 情報が盗み見られる可能性が高いサイト
  • https:// 通信が暗号化されたサイト

サイトユーザー側の対処方法

特にログイン機能がありユーザー ID やパスワードの入力が必要なサイトに言えることですが、ユーザー(観覧者)側から対処できる方法はサイトを使わないこと以外ないかと思います。この表示がされるのはサイト運営者の設定によるものなので、運営者に問い合わせをして「常時SSL」対応してもらう必要があります。

サイト運営者側の対処方法

サイト運営者はサイトアドレスを「http://」から「https://」に変える為には、「SSLサーバー証明書」を認証局から発行してもらう必要があります。SSLサーバー証明書 は、サイト運営者の実在性の確認と通信データの暗号化を行うための電子証明書のことです。

SSLサーバー証明書の役割

通信データの暗号化

大きな目的としてインターネット回線でやり取りされる情報の暗号化が挙げられます。SSL証明書を発行してもらうことによって常時SSL対応になり、サイトユーザーの重要な情報が暗号化されてサーバーに届くようになります。

サイト所有者の証明

このサイトの所有者は信頼できるということを認証局から証明をしてもらえます。

CA(Certification Authority)認証局

CAは国内にもいくつかあるので参考にリンクを貼っておきます。

SSLサーバー証明書の認証レベル

証明書には無料で導入できるものから有料まで3つのレベルがあります。

  1. DV(Domain Validation)ドメイン認証(信頼性:低)
  2. OV(Organization Validation)企業認証(信頼性:中)
  3. EV(Extended Validation)(信頼性:強)

1.DV ドメイン認証

DV(Domain Validation) は SLL の申請者がドメインの所有者という証明しているものになります。無料と有料がありますが暗号化の強度は同じです。有料にするとサポートを受けられるメリットがあります。無料でレンタルサーバーの設定から簡単に導入できるところも多いため、導入コストの低さから個人サイトや多くの企業がこちらの DV 認証で SSL を導入しているようです。

認証局は所有者の存在まで確認していないので、実際に所有者が存在しているかどうかの信頼性は低いものになります。導入の金額は無料から数万円。

こちらは無料で常時SSL化できる参考記事です

2.OV 企業認証

OV(Organization Validation)はドメインの管理者である企業・団体が実在しているかを証明しているものになります。こちらは認証局がその企業・団体に電話で確認を行いその実在性を確認して証明書を発行します。

電話で実際に人とお話をしながら確認をしますが、ごまかせる可能性もあり信頼性は中くらいのものになります。導入の金額は数万円。

3.EV認証(最高レベルSSL証明書)

EV(Extended Validation)はドメインの管理者である企業・団体がこの世の中に存在しているかを証明しているものになります。電話確認に加えて住所に書類送付し返送してもらう工程が追加され、その企業・団体が存在するかどうかの調査が厳密化されます。

大手企業はEV認証にてSSLを導入しているようですが、金額は数万~数十万は見ておかなければなりません。その分、信頼性は非常に高いものになります。

まとめ

ログイン機能がない個人サイト程度であれば無料で導入可能なDV ドメイン認証で十分な気はします。お客様の情報を扱うようなサイトはその規模によって認証レベルを考慮し、SSL導入を検討してみてはいかがでしょうか。

コメント

タイトルとURLをコピーしました