常時SSL Lab.編集部以前アドレスバーに「保護されていません」が出るのはどんな時?の記事で、HTTP(非暗号化)サイトで表示されるアドレスバーの警告表示についてご紹介しました。
今回は、新しく追加されたログインフォームに出る警告表示についてご紹介したいと思います。
ログインフォームの警告表示
ログインフォームとは、会員専用サイトなどの非公開コンテンツにアクセスするために、「ID/パスワード」の入力を求めるフォームのことで、誰でも一度は使用したことがあると思います。
このログインフォームがあるページが、HTTPS(暗号化)に対応していれば何も問題はありません。
しかし、HTTP(非暗号化)だった場合は、FirefoxとGoogle Chromeでは以下のような警告が表示されるようになりました。
「Firefox」の表示
まず、2017年3月7日に正式リリースされたFirefoxの方からみてみましょう。
ログインフォームのページがHTTP(非暗号化)だった場合、IDなどの自動補完無効化に加え、カーソルがフォームにあたると、「斜線で消された鍵マーク」と一緒に以下のような文言が表示されます。
この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。詳細
[図 Firefox]
「Google Chrome(ベータ版)」の表示
次にGoogleChrome(ベータ版)の表示を確認してみましょう。
カーソルが当たると「i」のマークと共に、赤字で以下のような文言が表示されます。
ログイン情報は保護されていません。詳しく見る
[図 Google Chrome]
今までよりも強い警告レベルに
実はこのログインフォームの警告、以前はWebサイトの開発者向けツールでのみ表示されていました。
この頃は、ユーザのログイン情報が危険にさらされていることをWebサイトの運営者に対して知らせて、自主的な改善を促すことが目的だったようです。
しかし今回の対応からは、Webサイトのユーザに対して明確に警告が表示されるようになりました。
Firefoxの「ここに入力したログイン情報は漏えいする可能性」という強い表現や、Google Chromeの赤い文字色からも分かるとおり、その警告レベルも上がっています。
ユーザ自身がWebサイトの安全性を自ら判断し、逆に安全でないWebサイトを利用しないようにブラウザ側で”見せる”対応がまた一つ増えたのです。
ブラウザ提供会社の想い(引用)
今後もFirefoxやGoogle Chromeといった各種ブラウザでは、色々な変化が起きる可能性があります。
各社が公表しているコンテンツ内容からも、その意思が伝わってきます。
HTTPS プロトコルは、ネットワーク上での盗聴(機密性)や改ざん(完全性)といった脅威から、ユーザのデータを保護できるように設計されています。 ユーザのデータを扱う Web サイトは、ユーザを攻撃者から守るために HTTPS を使うべきです
ユーザーの皆様がウェブを安全に利用できるように、Chrome では、信頼できる機関が発行した証明書を使用することをウェブサイトの要件としています
Webサイト運営者からみれば、ログインフォームへの警告表示は厄介なものかもしれません。
しかし、自分がWebサイトユーザの立場で考えれば、「安全ではない」と表示されることで自衛が可能になります。誰もが安心して、気持ちよくインターネットを活用できる世の中になるといいですね。
ログインフォームの警告表示を消す方法
最後に、ログインフォームに表示される警告表示の消し方についてご説明しておきます。
ログインフォームに警告が表示される理由は、そのページがHTTPS(暗号化)に対応していないせいです。
SSLサーバー証明書を取得・設定し、正しくHTTPS(暗号化通信)に対応させれば表示されなくなります。
SSLサーバー証明書はレベルによって複数の種類が存在しますが、個人の方の場合なら、最近登場した無料の独自SSLサーバー証明書「Let’s Encrypt(レッツ・エンクリプト)」がおすすめです。
SSLサーバー証明書の実際の設定作業については、本サイトの「実践術」で色々とご紹介していますので、ぜひ参考にご覧ください。
この記事のポイント
- FirefoxとGoogle ChromeのHTTP(非暗号化)サイトに対する警告レベルが上がった
- ブラウザ提供会社は今後もHTTP(非暗号化)サイトへの対策行う可能性が高い
- ログインフォームの警告表示を消すにはHTTPS(暗号化)が必要
株式会社IDCフロンティア
