2016年初稿。2025年追記修正
色々なウェブサイトを閲覧しているとたまにエラー警告が表示されるページに出会うことがあります。
※ブラウザによって表示され方は異なります。
フィッシング詐欺などにあわない為にもこういった警告は訪問者にとっては便利ですが、仮に自分のウェブサイトで表示されてしまっていたらどうでしょうか。
まだ既存のクライアントに閲覧された場合でしたらおかしくなっている旨の連絡をくれたりと大きな影響はないかもしれませんが、新規で訪れた人に警告が表示されてしまっては大きな機会損失に繋がりますし信頼度は大きく下がってしまいます。
自社サイトなので悪意をもって制作しているわけではないとすると、原因としてはsslの設定不具合やブラウザやパソコンのセキュリティ設定等の問題、になるかと思います。
SSLとは
SSL(SSLサーバー証明書)とはSecure Socket Layerの略で、直訳しても分かりにくいですが、ポイントとしては情報を暗号化することにより、クレジットなどの機密情報や個人情報をサイト上で扱う際に守る仕組みです。
対応の見分け方としてはアドレスがhttpsとなっていたり、鍵マークがつくので分かりやすいかと思います。
SSLサーバー証明書には暗号化と実在証明の役割があります。
暗号化
暗号化とは例えば自宅のパソコンからネットショッピングをする際にクレジットカード番号などを入力した場合、その情報はインターネット網というリアルな世界で言えば公道を通ることになるので悪意をもった人には盗聴されてしまうリスクが存在します。
そんな時に仮に盗聴されても中身が分からないようにSSLサーバー証明書を使い暗号化します。
実在証明
暗号化によりせっかく中身が分からないようにお店まで情報を運んだのにそのお店が実は意図したお店と違った場合暗号化も意味がありません。
実はハリボテの架空店舗で情報だけ取られているかもしれません。
それを防止するのが実在証明です。
認証事業者がサイトの運営元を審査し証明します。
認証がおりれば証明書をダウンロードしてサーバーへインストールすることで有効化できます。
証明書の有効期限切れなどに注意
SSLの主な役割が分かったところで本題に戻ると自社サイトでエラーが出るとはこのSSLの証明が上手く設定できていなかったり、有効期限が切れてしまっている場合が考えられます。
認証は永続的でなく更新が必要になるのでこちら更新も忘れないようにしないといけません。
「この接続ではプライバシーが保護されません」以外にもForbidden 等閲覧環境によっては表示が異なる場合がございます。
実在証明などある程度の信頼性の目安となるSSLですが、期限切れなど適切に対応していなければ逆に信頼を損ねて機会損失してしまうことにもなるので気を付けましょう。
SSL未対応サイトで表示されるエラーとその原因について
以前は、上記のようにSSLに対応しているサイトであっても、証明書の期限切れや設定ミスなどが原因で、ブラウザにエラーが表示されることがありました。
しかし最近では、そもそもSSLに対応していないホームページに対しても、「セキュリティエラー」や「403 Forbidden」などのエラー表示が出るケースが増えています。
これは、Google Chromeのセキュリティ強化や、HTTPS優先モード、HSTS(HTTP Strict Transport Security)といった機能、セキュリティソフト等により、ユーザーが意図せずhttpsでアクセスしてしまっていることが原因です。
SSLに対応していないサイトであっても、強制的にhttpsにリダイレクトされるため、結果として「セキュリティで保護されていない」「危険なサイト」と判断されてしまうのです。
HTTPS優先モード
HTTPS優先モードとは、Google Chromeなどの主要ブラウザが提供しているセキュリティ機能のひとつで、Webサイトにアクセスする際に自動的にhttps(暗号化された通信)で接続を試みる機能です。
このモードが有効な状態でhttpのURLにアクセスしようとすると、ブラウザ側が「https://」へ自動的にリダイレクトして接続しようとします。つまり、ユーザーがhttpのURLを入力しても、ブラウザは安全性を重視してhttpsへ接続しようとするのです。
そのため、SSLに未対応のサイトにアクセスすると「この接続ではプライバシーが保護されません」などの警告が表示され、正しく閲覧できない可能性があります。
この機能は、ユーザーを安全な通信に誘導するためのものですが、SSLに対応していないサイトにとっては思わぬ表示トラブルの原因にもなります。
HTTP Strict Transport Security(HSTS)
HSTS(HTTP Strict Transport Security)は、一度HTTPSでアクセスしたことのあるサイトを、次回以降も必ずHTTPSで接続するようにブラウザに記憶させる仕組みです。
例えば、あるサイトにhttpsで接続した際、サーバーが「今後はhttpsでアクセスを」という命令を返すと、ブラウザはそのサイトをhttps専用として記憶します。これにより、ユーザーがhttpでアクセスしようとしても、自動的にhttpsに変換されて接続されます。
このHSTSは非常に強力で、ブラウザの設定を消去しない限り、httpへのアクセスはブロックされ続けます。そのため、SSLに未対応の状態でhttpsにアクセスすると、ブラウザは「危険なサイト」と判断してアクセスを拒否する場合があります。
ユーザーの安全性向上を目的とした機能ですが、サイト側でSSL未対応の場合、意図せず「アクセスできない状態」になる原因ともなります。
セキュリティソフトが原因でエラーが表示されるケース
一部のセキュリティソフトやウイルス対策ソフトには、Webサイトの通信内容をチェックする「HTTPSスキャン機能」が搭載されています。この機能が有効になっていると、SSL証明書の整合性を確認する際にセキュリティソフト独自の証明書が使用され、本来の証明書と一致しないと判断されて「接続はプライベートではありません」や「証明書エラー」といった警告が表示される場合があります。
特に、企業内ネットワークや学校のPCなどではこのような機能が標準で有効になっていることも多く、サイト側に問題がなくてもエラーになるケースが存在します。
このような場合は、セキュリティソフトの設定で「HTTPSスキャン機能」を一時的に無効にすることで正常に閲覧できるようになることがあります。ただし、設定変更は自己責任で行ってください。
一時的な対処法(ユーザー向け)
もし、自分のパソコンやスマホで、信頼できる自社サイトなどにアクセスした際にこのようなエラー表示が出てしまった場合、以下のような方法で一時的に表示させることが可能です。
- URLを手動で修正する
ブラウザの上部にあるURLバーで「https://」となっている部分をクリックし、「s」を削除して「http://」に変更してから再アクセスします。 - ブラウザのエラー画面から強制的にアクセスする
エラー画面に表示される「詳細設定」や「このサイトにアクセスする(安全ではありません)」というリンクをクリックすることで、強制的に閲覧を続行できます。
※ただし、これは自己責任の上で行ってください。 - セキュリティソフトなどの設定を変更する
※ただし、これは自己責任の上で行ってください。
自社サイトでこのような表示を防ぐには(サイト運営側の対策)
このようなエラー表示を防ぐためには、自社のホームページをSSL対応(HTTPS化)することが必須です。
SSL対応により、すべての通信が暗号化され、訪問者が安全にサイトを閲覧できるようになります。
以下が、SSL化の主な流れです。
無料:Let’s Encrypt(サーバーによっては利用不可)
有料:ドメイン認証・企業認証・EV証明書など
Google Search Console等の計測ツールの設定を変更します。
メールの署名や販促物のURL記載を修正します。リダイレクト設定が正しく行えていれば旧URLでアクセスしても大丈夫なので印刷物などは増版のタイミングでも良いかと思います。
ホームページの新規作成ではSSL対応は必須要件。既存サイトの対応は?
以前はSSL化対応していない場合でも「保護されていない通信」と表示されることによる心象的な問題ぐらいで接続自体は問題なかったのですが、世の中のSSL化の流れにより、SSL対応がSEOの評価指標の一つとなったり今回のようにホームページに簡単にアクセスできないケースが出るとなると新規でホームページを制作する際にはSSL化は必須とも言えます。
では、SSL対応されていない既存サイトはどうでしょうか。
重要なポイントは既存サイトのSSL化には色々な設定や確認作業が発生し、基本的には費用が発生してしまうという点です。また、有料のSSL証明書などを利用する場合は追加のランニングコストが発生してしまいます。
- 「今まで問題なく使えていたのに、なぜ追加費用がかかるのか?」
- 「SSL未対応のまま納品した業者に責任があるのでは?」
こうしたお客様の疑問や不満はもっともですが、制作のタイミングによってはSSL対応が一般的ではなく任意だったため、サーバー契約時やホームページ制作時にお客様自身がオプションとして選ばなかったケースもあります。当時の判断が間違いであったとは言えませんが、エンドユーザーへの影響や検索順位への影響等を考慮しても早めの対応が大切です。
