JPDirectは株式会社日本レジストリサービス(JPRS)が提供するドメイン取得・SSL/TLSサーバー証明書発行サービスです。

JPDirect ドメイン名登録管理サービス

JPRSサーバ証明書での常時SSL化について

「保護されていない通信」という表示が出ないようにするには【Webサイト運営者向け】

公開:2018/07/25
更新:2018/12/11

2018年7月24日にリリースされたChrome68ではURLバー(アドレスバー)の横に「保護されていない通信」と警告が表示されるようになりました。2018年10月16日にリリースされたChrome70ではフォームに情報を入力しようとすると赤字で警告が表示されるようになりました。
このページではURLバー(アドレスバー)に警告が表示される理由や解除方法について解説します。

保護されていない通信を保護された通信に

目次

本ページでは区別しやすいように色分けして記載いたします。

http(暗号化されていない):赤
https(暗号化されている) :緑

「保護されていない通信」を解除するには

「保護されていない通信」=通信が盗聴されてしまうリスクあり!?

インターネット上でのやり取りはhttpから始まるURLの場合は通信が暗号化されていないということをご存知でしょうか?

例えば、URLがhttpから始まるログイン画面にパスワードを入力したとします。
この時に入力したパスワードは、はがきに書いた情報のようにそのままネットワーク上で送られますので、悪意のある第三者が覗こうと思えばその情報を簡単に見ることができます。

こうした情報漏洩を防ぐためには通信を暗号化する必要があります。暗号化された通信を行い、情報を保護することができるhttpsにすることがWebサイトの運営者に求められています。

「保護されていない通信」という警告表示が出ないようにするには

「保護されていない通信」という警告表示が出ないようにするには、httpではなくhttpsから始まるURLに変更し、全てのページにおいて通信を暗号化する必要があります。
WebサーバーにSSLサーバー証明書を設定すると通信が暗号化され、httpではなくhttpsにURLを変更することができます。

保護されていない通信と保護された通信の違い

「保護された通信」を行うSSLサーバー証明書とは?何枚必要?

SSLサーバー証明書とは

利用者はパソコンやスマートフォンからインターネットを介してWebページを見ています。閲覧する際に利用者側はブラウザーを使い、Webページがあるサーバーにアクセスしています。

ブラウザー(利用者側)とサーバー(Webサイト運営者側)の通信を暗号化していると、お申し込みフォームなどに入力した情報が暗号化され、「保護された通信」を実現できます。

この通信を暗号化するためにサーバー(Webサイト運営者側)にインストールする電子証明書のことを「SSLサーバー証明書」と言います。

SSLサーバ証明書とは

1つのWebサイトにSSLサーバー証明書は何枚必要?

SSLサーバー証明書の必要枚数は、Webサイトの構成によって異なります。
Webサイトの構成は大きく2つに分けることができます。

SSLサーバー証明書1枚で足りるケース SSLサーバー証明書が複数必要なケース

[1]のケースであれば、コモンネーム(jpdirect.jp)は共通なので
SSLサーバー証明書は1枚ですべてに適用できます。

[2]のケースであれば、コモンネーム(jpdirect.jp/login.jpdirect.jp/example.jp)が異なるので
SSLサーバー証明書は3枚必要です。

複数枚を1枚にまとめることができるワイルドカードとは?

サブドメイン部分が異なっていても対応できるものをワイルドカードと呼びます。
[2]のケースであれば、SSLサーバー証明書はワイルドカード1枚にまとめることができます。

〇メリット

  • 証明書が1枚なので管理コストが低い(CSRや秘密鍵も1つ)
  • 証明書が1枚なのでインストール作業が1回で済む

〇デメリット

  • 複数枚分の役割をするので料金はワイルドカードの方が高い

ただし、ワイルドカードの適用範囲にはご注意が必要です。

ワイルドカードの適用範囲

例:CSRのコモンネームが「*.jpdirect.jp」(3階層目に*)のケース

  • 〇:適用範囲内 ×:適用範囲外(別途SSLサーバー証明書が必要です)
  • 〇 http://jpdirect.jp/
  • 〇 http://www.jpdirect.jp/
  • 〇 http://login.jpdirect.jp/
  • 〇 http://test.jpdirect.jp/
  • × http://test.login.jpdirect.jp/(4階層)
  • × http://jprs.co.jp/(CNが異なる)

「*.」の部分が同一階層であれば「www」「login」など別のサブドメインがいくつあっても適用範囲です。

「*.」の部分と階層が異なれば適用範囲外です。別途SSLサーバー証明書が必要です。

「*.」の部分がない場合も適用範囲内です。

「保護されていない通信」がChrome70(2018年10月リリース)から赤文字で目立つように

Chrome68およびChrome70では、WebサイトのURLがhttp から始まると「保護されていない通信」、https から始まると「保護された通信」となります。このhttpの後ろにつく「s」は「安全(な)」を意味するSecureの頭文字です。

httpとhttpsの違い

今までもお問い合わせフォームやログイン画面など、特に重要な通信が行われるページがhttpだった場合に警告メッセージを表示するブラウザーがありましたが、Chrome68ではhttpからURLが始まるすべてのWebページに対して警告が表示されるようになりました。

さらにChrome70(2018年10月リリース)では、フォームに情報を入力しようとすると警告が赤字に変化し、ますます目立つようになりました。

Chrome70の警告表示

ブラウザーが推進する「保護」

Googleは通信が暗号化された状態が標準になるように警告表示を段階的に変更する意向を公開しています。

ブラウザーの動向 [2018/09現在関連発表が行われているもの]

Google Chrome

  • Chrome56(2017年1月リリース)以降、
    • httpから始まるURLのうちパスワードまたはクレジットカード情報を入力するページに対して警告を表示
  • Chrome68(2018年7月リリース)
    • すべてのhttpのURLに対して警告を表示
  • Chrome70(2018年10月リリース)
    • すべてのhttpのURLに対して警告を表示。フォームに情報を入力した際に赤字で警告を表示

Firefox

  • Firefox 52(2017年1月リリース)以降、
    • httpページのうちパスワードまたはクレジットカード情報を入力するページに対して警告を表示

まとめ

  • 「保護されていない通信」は、URLがhttpの時に表示される
  • 全てのページでhttps(通信が暗号化されている)にする対応(常時SSL化)は必須の流れ
  • WebサーバーにSSLサーバー証明書を設定すると通信が暗号化され、httpではなくhttpsにURLを変更することができる

本ページで使用している専門用語の解説

SSL(Secure Socket Layer)

通信データを暗号化し、盗聴や盗み見されないようにする技術です。パスワードの送受信をするようなページでは必須とされます。HTTPS通信は、SSLの後継バージョンであるTLS(Transport Layer Security)の技術を用いておりますが、一般的に広く知られているSSLと表記しています。

CSR(Certificate Signing Request)

SSLサーバー証明書を発行するための証明書署名要求のことです。CSRには公開鍵やコモンネーム、組織名などの情報が含まれます。CSRの生成方法は認証局がマニュアルを公開しています。(参考:「CSRの生成方法」)

コモンネーム(Common Name)

CSRを生成する際の項目の1つで、ドメイン名(またはサブドメイン)のことです。

関連ページ

関連サイト

JPRS