スマホでもパソコンでも、Webページは誰でも閲覧していると思います。

そのWebページには、暗号化されているWebページと暗号化されていないWebページがあるのをご存知でしょうか。

Webページの暗号化は、SSL/TLSによる暗号化プロトコルによって行わています。

これら暗号化は最近では全てのページ適応する動きが、少しずつ広まってきています。

例えば検索エンジンと言えばGoogleですが、Googleは全てのページが暗号化されているWebサイトです。

ChromeのSSLページ表示例
ChromeのSSLページ表示例

暗号化されているWebページは、アドレス欄に鍵マークが付き、アドレス始まりが「https」になるのが目印です。

また、https部分と鍵の色が緑色に変わるのも大きな特徴です。

SSL化(暗号化)されたWebページの各ブラウザ表示例

上記例ではGoogle製ブラウザ「Chrome」のアドレス画面でのSSL化(暗号化)された表示例となります。

その他ブラウザでも、SSL化されたWebページを表示した場合、アドレスバー部分が変化します。

各ブラウザの表示例は、下記のようになっています。

Internet Explorer11(インターネットエクスプローラー11)

ie11

Microsoft製の「インターネットエクスプローラー11」は、アドレスバー右側に鍵マークが付きます。

ssl_ie

正直鍵マークが小さすぎです。

古いブラウザのため、暗号化をあまり意識された作りではなく、正直わかりにくいです。

Microsoft Edge(マイクロソフト エッジ)

edge

最新のブラウザ、Microsoft Edgeでは大きな鍵マークが付きます。

マーク自体が大きいため、IE11よりは暗号化されているのがわかりやすいです。

ssl_edge

一方、文字やマークの色は特に変わることはないようです。

FireFox(ファイアーフォックス)

firefox

Mozillaが開発しているブラウザ「Firefox」です。

Firefoxの暗号化ページ表示では、鍵マークのみ緑色に変化するようです。

ssl_firefox

デザインはChromeに非常に似ていますが、文字列は緑に変わらずそのまま黒表示のようです。

Safari(サファリ)

safari
Macの標準ブラウザである「Safari」で、iPhoneやiPadにも標準ブラウザとしてインストールされています。

暗号化ページが開かれた表示動作は、下記のように小さな鍵マークのみです。

ssl_safari

こちらも色は変わらないようですが、アドレスすぐ横に鍵マークがあるため、IE11よりは分かりやすい印象です。

Googleの暗号化より信頼性が高いEV証明SSL

Googleが利用しているSSLより信頼性が高い暗号化(SSL認証)も、存在します。

下記のNURO光公式特設サイトの場合、通常のSSLより信頼性が高いEV証明SSL(強化認証SSL)が利用されています。

nuro_tokusetu_mini

 

NURO 光 So-net公式特設サイト申し込み

EV証明SSLは世界標準の認証ガイドラインと厳格な審査があり、SSL暗号化の中で一番取得が難しいものになります。

この証明書を取得しているということは、Webサイトの信頼性の証とも言えます。

では、実際にEV証明SSLで暗号化された場合、どのような表示がされるのか。

NURO光特設サイトをブラウザ「Chrome」で表示した場合、下記のような画面表示になります。

NURO光 公式特設ページを実際に開いたURL画面
NURO光 公式特設ページを実際に開いたURL画面

Googleの暗号化接続の場合は、httpsと鍵マークが緑になるだけでした。

一方EV証明SSLでは、企業名である「Sony Network Communications」と表示されています。

(NURO光は、SONYグループであるSo-net(Sony Network Communications)がサービス提供を行っています)

企業名まで緑色の文字で表示されるため、どのような企業や団体に接続しているのかを一瞬で把握することが出来ます。

そのため、どのような企業が運営しているのかがハッキリとわかり、そのWebページの信頼性を強調することが出来ます。

SSL化(暗号化)されていないWebページ ブラウザ表示例

Google製ブラウザ「Chrome」の例ですと、下記のようになります。

表示例のWebページはフリーソフトなどを紹介している窓の杜です。

こちらのWebページは、残念ながら暗号化されていません。

nonssl_chrome

暗号化されていないWebページは、httpの文字列は省かれ、全ての文字が黒表示になります。

また、SSL化マークである鍵マークは存在しません。

その代わりに丸いマークの中にビックリマークが表示されています。

基本的に暗号化されていないWebページでは、鍵マークが表示されていない。

表示されていなければ、暗号化されていないという認識で良いと思います(他のブラウザでも同様)

暗号化されていないWebページの危険性

上記のような暗号化されていないWebページは今でも一般的です。

しかし、このようなWebページは実は大きな危険性を持っています。

典型的な例は、ネット通販などで個人情報を含む入力フォームです。

入力フォームには、名前、住所、電話番号、クレジットカード番号など記載します。

しかし、もしそのネット通販サイトがSSL(暗号化)されていない場合どうなるでしょうか。

%e3%82%a4%e3%83%b3%e3%82%bf%e3%83%bc%e3%83%8d%e3%83%83%e3%83%88_%e6%9a%97%e5%8f%b7%e5%8c%96-1

日本中、場合によっては世界中に、それら個人情報が平文のままインターネット上を駆け巡ることになります。

インターネットは、ネットワークの集合体です。

色々な中継サーバーを通じて繋がっているわけですが、中には悪意の中継サーバ運営者が居る可能性もあります。

暗号化していないWebサーバーに個人情報を含んだ入力フォームを送信してしまった場合、そのような悪意ある中継サーバーに対して中身が丸見えになってしまいます。

%e6%9a%97%e5%8f%b7%e5%8c%96%e3%81%95%e3%82%8c%e3%81%a6%e3%81%84%e3%81%aa%e3%81%84web%e3%82%b5%e3%83%bc%e3%83%90

もしそのデータがクレジットカード番号だった場合、不正利用のきっかけにもなってしまいます。

暗号化されたWebページの仕組み

一方、暗号化されたWebページでは、ユーザと個人情報を送るWebサーバ間のデータ送受信を全て暗号化して送ります。

仮に途中、悪意ある中継サーバがデータを盗聴していたとしても、意味がわからない文字列(暗号化されたデータ)でしかありません。

%e6%9a%97%e5%8f%b7%e5%8c%96%e3%81%95%e3%82%8c%e3%81%9fweb%e3%82%b5%e3%83%bc%e3%83%90

なお、暗号化されたデータは、下記のように復号化されます。

  1. ユーザーが暗号化されたWebサイトへアクセス。
  2. Webサーバ側がユーザーにサーバー証明書(公開鍵付き)を送信
  3. ユーザーのブラウザが、公開鍵を利用して共通鍵を生成
  4. 生成した共通鍵を2で受け取った公開鍵を利用して暗号化、Webサーバに送信
  5. Webサーバが受け取った共通鍵を利用して、暗号化通信を開始 以降すべての通信は暗号化されます

これらの仕組みはユーザー側は特に意識せず利用できますが、ブラウザに鍵マークがついている場合は、このように安全が確保されているのかが、わかると思います。

SSL/TLS Q&A

ユーザー側がSSL/TLSを常時使えるように設定することは出来ないのか

基本的にSSL/TLS暗号化は、Webサーバ側が設定を行うことによって成立する暗号方式です。

Webサーバ側がそのような設定を行っていない限り、SSL/TLS暗号化通信は成立しません。

ユーザが、もしどのようなWebサイトでも暗号化して通信を行いたい場合は、VPNという技術があります。

VPN(バーチャルプライベートネットワーク)と言うとおり、常時通信を暗号化することにより、プライベートネットワークのように利用することが出来ます。

実際に社内LAN(プライベートネットワーク)のように、本来であれば外部に流失したら不味いファイルのやり取りなどを企業が行えるぐらいセキュリティに優れている技術です。

VPNに関しては、下記の記事にどんな技術なのか、また使い方などを解説しています。

関連記事:VPN(バーチャル プライベート ネットワーク)とは

アクセスしたWebページのURLアドレス 暗号化はされている?

SSL/TLS化したWebページを経由した場合、全て通信は暗号化されていますが、URLアドレスも例外ではありません。

アクセスしたWebページのURLアドレスは、全て暗号化され平文で送られることはありません。

逆に言えば、暗号化されていないWebページへアクセスした場合、もし盗聴などをされてれば、ユーザーがどのWebサイトにアクセスしたのかが丸見えになります。

何故暗号化=SSLと呼ばれているのか

SSLとはSecure Sockets Layer(セキュア・ソケット・レイヤー)の略です。

インターネット業界標準の暗号化通信プロトコルの一つであります。

ですが、実際に利用されている技術は2016年現在、SSLではありません。

SSLのバージョンは現在、SSL3.0で止まっています。

このSSL.30には脆弱性の問題が有り、この暗号通信を行った場合、暗号を解読される危険性があります。

そのため、解読される危険性があるSSL3.0は現在は利用が禁止されています。

(最新のブラウザ、Chrome、Firefox、Edgeでは初期状態では利用できません)

SSLと呼ばれている理由
SSLと呼ばれている理由

現在はSSLからバージョン変更により名前が変わり、暗号化プロトコル「TLS」が利用されています(バージョンTLS1.2)

しかし、ブラウザの暗号化通信=SSLという認識が広く伝わっているため、あえて名称変更を促すことはなく、暗号化といえば「SSL」または「SSL/TLS」と呼ばれるような慣習が生まれているようです。

NURO光に申し込む前に確認 各申込み先キャンペーンを詳しく比較解説

特設申込み先サイトにEV証明SSLが使われている NURO光

そんなNURO光をお得な方法で申し込みたい

ですが、申し込む前にこんなことを疑問に思いませんか

  • どこがお得な申し込み方法かわからない。
  • 高額なオプションに釣られて、実は損をしていた。

NURO光の申し込みが失敗しないように、詳しく各申し込み方法を解説します。

NURO光 申し込みキャンペーンを徹底比較

そもそもNURO光がどんな回線かわからない方

NURO光の全てを当サイトのトップページにて詳しく解説していますNURO光の実測や評判は?トップページ