Chromeで表示される「保護されていない通信」とは?
「保護されていない通信」とは、簡単に言うとセキュリティ上安全ではないサイトと接続しているという意味です。「保護されていない通信」はSSLを導入しておらずhttp接続しかできないサイトで表示される警告ですが、https接続の場合は通信が暗号化されていないためデータの送受信を盗聴されてしまう可能性があります。
これが「保護されていない通信」が表示される理由です。ただただウェブページを読み込むだけであれば大きな問題ではないのですが、メールアドレスやパスワード・クレジットカード情報などを入力する場合だと話は変わってきます。
これらの情報も暗号化されないため、ネットワークを盗聴されてしまうと全て筒抜けになってしまうのです。そのため、通信を暗号化してセキュリティを高められるSSLを導入していないウェブサイト・サービスに接続すると「保護されていない通信」と表示されるのです。
SSL対応しているWEBサイトでも「保護されていない通信」が表示される原因
「投稿されていない通信」に対応するためにサイト運営者がSSLを導入しても、なぜか「保護されていない通信」が表示されたままになってしまうことがあります。
これにはいくつか原因があるので、順番に見ていきましょう。
httpから始まるURLでリソースファイルを読み込んでいる
一番よくあるのがこのパターンです。
SSL対応ページでもhttpから始まるURL(SSL非対応URL)で画像やスクリプトなどのリソースファイルを読み込んでいた場合は、それが原因で鍵マークが表示されず「保護されていない通信」が表示されるようになります。
そのためSSLを導入する場合は、読み込むリソースファイルのURLもSSL対応(httpsから始まるようにする必要があります。最新バージョンのChromeでは、セキュリティを高めるためにhttpから始まるURLでも強制的にhttps接続で読み込まれ、読み込みに失敗した動画・音声ファイルはブロックされるため注意が必要です。
画像のみブロックされずに読み込むことが許可されていますが、正しく読み込めたとしても「保護されていない通信」が表示されます。
サーバーが最新のTLSバージョンではない
使っている Web サーバーがとても古く、TLSのバージョンが古い場合は、有効な証明書をインストールして有効化していたとしても無効とみなされて「保護されていない通信」が表示されてしまいます。
レンタルできる専用サーバー・VPS・自社サーバーを利用している方ならサイト運営者側がバージョンを更新できますが、事業者が管理するレンタルサーバー(サイト運営者に管理者権限を与えられないマネージドサーバー)の場合は対応できない可能性が高いためできるだけ早く他のレンタルサーバーに乗り換えることをお勧めします。
「保護されていない通信」の対処方法
ここからは「保護されていない通信」を消すにはどうしたらいいのか、対処法を紹介していきます。
SSLを導入する
SSLを導入していない場合は真っ先に SSL を導入しましょう。SSL未導入の場合は絶対に「保護されていない通信」になります。
昔は SSL を導入しようと思うと年間数万円のライセンス料金が必要でしたが、現在はSNI SSLの普及により無料かつ無制限にSSLを導入できるレンタルサーバーが増えています。
ですので、現在使用しているサーバーがSSLを無料で導入できるのであればすぐにでも導入しましょう。また、SSLを導入することでHTTP2が使えるようになり、Web サイトのパフォーマンスが大幅に向上するので、「保護されていない通信」を削除する以外のメリットも大きいです。
httpアクセスをhttpsアクセスにリダイレクトする
SSLを導入しただけだとhttpアクセス・httpsアクセス両方が有効化されています。
そのため、SSL導入サイトでもhttp://から始まるURLでアクセスしてきたユーザーには「保護されていない通信」が引き続き表示されてしまいます。
この問題を解決する場合はhttpアクセスをhttpsアクセスとして処理できるようにリダイレクトしてあげましょう。リダイレクトとは指定したウェブページから自動的に他のウェブページに転送することを言います。
サーバー側でリダイレクトの設定を行うことで、強制的にSSLが適用されるページにアクセスさせることができ、「保護されていない通信」が表示されなくなります。
リダイレクトの設定方法はたくさんあり、以下の方法でリダイレクトすることができます。
- サーバー側でリダイレクトの処理を行う
- meta refleshでリダイレクトする
- JavaScriptでリダイレクトする
WordPressなどのCMSを使う場合は機能を拡張できるプラグインやCMSそのものの機能でリダイレクトの設定を行えることがあるので、CMSを利用している場合は使用しているCMSの機能でリダイレクト行えるかどうか調べておくようにしましょう。
リソースファイルのURLを全てSSL対応URLにする
SSL を導入したにも関わらず保護されていない通信と表示される場合は、ページ内に存在するリソースファイルの URL の中に「http://」から始まるURL(SSL非対応URL)が一つでもあると、SSL の導入の有無に関わらず「保護されていない通信」と表示されてしまいます。
SSLを導入しているサイトなので通信に対するセキュリティはある程度確保されていますが、「保護されていない通信」は表示されたままになるので注意が必要です。
どのURLが「http://」から始まっているのかわからないという場合は、以下の手順で確認してください。
「保護されていない通信」が表示されるページのソースを表示する(Ctrl+Uキーで表示できます)。
アンカーリンクを含めて"http://"から始まるURLが見つかりますが、この中にリソースファイル(img・link・scriptタグ)のURLがあるか確認してください。
HTMLファイルなら即修正、CMSなどでHTMLを自動生成しているのであれば各種CMSの設定などを見直しましょう。
アンカーリンクは「http://」でも問題ない
「保護されていない通信」に影響するのは画像ファイルやCSS・JavaScriptファイルなどのリソースファイルの読み込みに使われる URL です。
そのため、アンカーリンクは「http://」から始まるURL(非SSLページへのリンク)でも問題ありません。
逆にアンカーリンクまで強制的にSSL対応(https://)にしてしまうと、SSL非対応であるにも関わらずSSL対応ページのURLを踏むことになってブラウザが警告を出してしまう可能性があるので、閲覧者が遷移先サイトをウイルスサイトと誤認してしまう可能性があります。
ですので、アンカーリンクを強制的に「https://」にするのは避けておきましょう。
「保護されていない通信」が表示されないブラウザを使えば問題ないというのは間違い
「保護されていない通信」が表示されないバージョンのブラウザを使えば問題ないと軽視する方もいるかもしれませんが、多くの方は「保護されていない通信」が表示されるようになっている最新バージョンのブラウザを利用しています。
ですので、ウェブサイト・サービス提供側は可能な限り「保護されていない通信」が表示されないように対策してください。
サービス提供側であれば「保護されていない通信」の意味を理解しているはずですが、多くの方はサービス提供側の都合を知らない一般読者であり、危険なサイトであると認識する可能性もあるので注意しましょう。