Internet ExplorerでWebページを巡回していると、たまに次のような警告が表示されることがあります。
こちらのようなダイアログの場合もあります。
「警告」なんてキーワードが含まれていると身構えてしまい、はい・いいえのどちらを選んでよいのか迷ってしまうかもしれません。
結論から言うと、個人情報やクレジットカード番号などを入力するような重要なページでなければ、なにも考えずに「はい」を押して構いません。
ただ、セキュリティについて知らないでいるのは心配だったので少し調べてみました。「細かい理屈はどうでもよろしい。ダイアログを表示しない設定方法を教えろ」という人は、この記事の後半まで読み飛ばしてください。
SSLと非SSLの混在が原因である
SSLで保護されたコンテンツにおいて、一部に非SSL・TLS経由による参照が混在していることが警告が表示される原因です。
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)はユーザーとWebサーバー間の通信を暗号化する技術のことです。個人情報やクレジットカード番号といった重要なデータは第三者から盗聴される恐れがあるため、暗号化して安全性を保つ必要があります。
SSL通信を行うためには「証明書」が必要になりますが、この証明書を取得するためには登記簿謄本や代表電話番号などを信頼性の高いCA(認証局)によって厳しく審査されます。これによりSSL化されているWebページは成りすましや改ざんされていないことが証明され、安心して大事なデータを入力することができます。
SSLによって保護されているWebページはアドレスが「https://~」からはじまりますが、SSL化されたページのなかに「http://~」からはじまるリンクが張ってあるものを「混在コンテンツ」と呼びます。Internet Explorerで混在コンテンツにアクセスすると先ほどの警告が表示されるようになっています。
暗号化について調べていると、SSL・TLSと併記されていることがあると思います。
SSLは1990年代中頃にNetscape社によって開発されましたが、外部のセキュリティアドバイザー抜きで開発されたため、のちに重大な脆弱性が発見されてしまいます。3.0までバージョンアップされましたが、2014年に仕様上の脆弱性が発見され、2015年にIETF(インターネット技術タスクフォース)によってSSLの使用は禁止されました。
1996年にIETFはワーキンググループを結成し、セキュリティの専門家を交えた第三者機関によるセキュリティプロトコルの開発がはじまります。これがTLSであり、TLSはSSLの基本設計を受け継いだプロトコルになります。ただし、両者に互換性はありません。
いまだにインターネット上の暗号化された通信のことをSSLと呼んでいますが、これはかつてNetscape社とMicrosoft社の熾烈なウェブブラウザのシェア争いの結果、SSLという名称が広く普及してしまったことによります。
レンタルサーバーなどでも便宜上はSSLと銘打っていることが多いですが、実際に導入される暗号化技術はTLSです。
ダイアログを表示させない設定
セキュリティ的にあまりおすすめしませんが、何度も警告が表示されてわずらわしい場合にはダイアログを表示させないように設定することができます。
Internet Explorerの右上の歯車マークをクリックし、「インターネットオプション」をクリック。
インターネットオプションダイアログでセキュリティタブをクリックし、「レベルのカスタマイズ」ボタンをクリック。
セキュリティ設定ダイアログでマウスホイールを下のほうまでコロコロすると、「混在したコンテンツを表示する」とあるので、こちらを有効にしてOKボタンをクリックします。
「このゾーンの設定を変更しますか?」と聞かれるので、「はい」とすれば設定は完了です。
まとめ
この機能はフィッシング詐欺などで公式ページになりすましている悪質なサイトから身を守るために用意されているものです。設定を変えれば面倒くさいダイアログが表示されることはなくなりますが、今開いているページが怪しいサイトであるかどうかに気付きにくくなるのは間違いありません。
この機能がなくても意識する必要がありますが、個人情報やクレジットカード番号などを扱うWebページが公式のものであるかきちんと確認する、変なメールのリンクは踏まないといった対策をしっかりするように注意してください。
Comment