ブラウザUIセキュリティインジケーターの確認

ブラウザUIのセキュリティインジケータを確認し、現在のフィールドの状態を示します。 セキュリティインジケータの変更は、一見単純なUIの決定のように見えるかもしれませんが、重要な意味を持ちます。 UIセキュリティインジケータの現在のステータスの概要、今後の変更、およびそれらがインターネットユーザーにどのように影響するかについては、以下をお読みください。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

HTTPとHTTPS

HTTPS は、ブラウザがWebサーバーと安全に通信するために使用するネットワークプロトコルです。 HTTPSは、ハイパーテキスト転送プロトコル(HTTP)と呼ばれるはるかに古いプロトコルの安全な代替手段です。 HTTPSは、すべての交換されたWeb(またはHTTP)データの暗号化が、 TLS  (HTTPSは文字通り* HTTP * over *TLS*)。

秘密鍵でWebデータを暗号化する( TLS しない)攻撃者が転送中に元のコンテンツを読み取ったり変更したりできないようにすることで、ユーザーのセキュリティを向上させます。 このようなネットワーク攻撃は、 中間者(MITM)攻撃。 研究者は繰り返し、MITM攻撃者がユーザーに気付かれずにHTTPトラフィックを読み取りまたは変更できることを繰り返し実証しています。

追加されたセキュリティにより、HTTPSは機密データを処理するWebアプリケーションに最適であり、ほとんどのサーバー(銀行や電子メールサーバーなど)は既にアップグレードされています。 残念ながら、帯域幅の増加、レガシーの問題など、さまざまな運用上の制限により、すべてのWebサーバーがサポートしているわけではありません。 潜在的な危険性があるため、懸念のあるユーザーは、安全でない接続でブラウジングしているかどうかを知る必要があります。

セキュリティインジケータを入力する

ブラウザは、アドレスバーに表示されるグラフィックスの形で、Web接続のセキュリティステータスをユーザーに通知します(この記事のURLの前にあるロックアイコンなど)。 これら セキュリティ指標 どちらでもかまいません 潜在的な危険にさらされていることをユーザーに警告する、または 正の、彼らを安心させるために彼らの接続は安全です。

セキュリティインジケータは、Web接続のXNUMXつの側面を伝えるために使用されます。 接続セキュリティ信頼性 リモートWebサーバーの。

暗号化による接続セキュリティ

インジケーターは、接続のセキュリティについて、 では使用できません, 暗号化されていない混合コンテンツ 接続。 暗号化されたサイトと暗号化されていないサイトは、すべてまたはまったくコンテンツを保護しません。 混合コンテンツとは、暗号化されていないWebサイトの一部のコンポーネントが、暗号化されていないチャネルを通じて取得されていることを意味します。

ページのコンテンツを変更できるコンポーネント(スクリプトやベクターなど)が呼び出されます アクティブコンテンツ。 固定されたIDを持つコンポーネント(静的画像やフォントなど)が呼び出されます パッシブコンテンツ.

完全に暗号化されたWeb接続は安全に聞こえますが、これだけではWebサイトを安全に閲覧できるという意味ではありません。

サーバー認証とデジタル証明書

攻撃者は、Webサイトのコンテンツをコピーして(実際に)、暗号化された接続上であっても、ネットワークトラフィックを自分の悪意のあるサーバーにリダイレクトできます。 彼らのサーバーは、異なる、既知の TLS 元の秘密の代わりにキー。 接続の正当性を疑う理由もなく、疑いを持たないユーザーは、ログインするか、その他の機密情報を開示するように説得される可能性があります。

それに応じて、ブラウザは、正当なWebサーバー所有者の資格情報を各サーバーが提示する一意の暗号化キーと相関させることによってサーバーを認証します。 このようにして、ブラウザはこの資格情報の検証をサードパーティのエンティティに委任します。 認証局 (CA)。 主要なブラウザーは、ルートプログラムを維持してCAの信頼を管理します。CAは、ブラウザーによって信頼されるために、厳しい基準と監査要件に準拠する必要があります。

SSL.comなどの信頼できるCAに証明書を要求するWebサーバーの所有者は、有効な公開鍵を提示し、ドメイン名とそれが指すサーバーを制御していることを証明する必要があります。 これらのチェックが成功すると、CAは所有者にデジタル証明書を発行し、所有者はそれを使用してサイトへの接続の暗号化と認証の両方を行います。

証明書はデジタルIDであり、サーバーを所有する個人または組織に関する情報が含まれています。 CAは、ワックスシールに類似した整合性メカニズムであるデジタル署名を使用して各証明書に暗号で署名します。攻撃者は署名を複製できず、コンテンツを変更する前に署名を無効にする必要があります。 HTTPSでは、Webサーバーがそのサーバーの有効な証明書を使用してブラウザー接続に応答する必要があります。 次に、ブラウザは証明書をチェックします。信頼できるCAによって署名されている場合は、接続が続行される可能性があります。 (サーバーが別の、取り消された、または無効な証明書を提示した場合、ブラウザーは接続を終了または拒否し、エラーメッセージを使用してユーザーに警告します。これについては、今後の記事で詳しく説明します)。

検証レベル

すべての証明書が同じレベルのセキュリティを提供するわけではないことに注意してください。セキュリティインジケータは、異なるレベルの検証のために発行された異なる証明書タイプを区別する場合があります。

CAの問題 ドメイン検証済み (DV)DNSドメインの制御を実証した顧客への証明書。 組織検証済み (OV)証明書は、組織が法人であり、ドメイン管理であることを認証するために精査されます。 最後に、 拡張検証済み (EV)証明書(ブラウザバー自体に会社情報を表示できます)は、複数の独立した検証チェック(人から人への連絡、資格のあるデータベースへの参照、フォローアップレビューを含む)、およびOV-およびDVに合格したお客様用に予約されていますレベルのステップ。

指標の現状

インターネットの黎明期には、HTTPが当たり前であり、最もセキュリティ志向の高いユーザー向けのオプションとしてHTTPSが導入されました。 その結果、ほとんどのブラウザは 正の インジケータ、つまりHTTPS接続を示すロック、および(オプションで)その接続がEV証明書を使用するかどうか。 今日、セキュリティ意識をより広く促進するために、Chromeは、FirefoxとSafariとともに、 インジケータ、暗号化されていない、または混在したアクティブコンテンツページのあるページをユーザーに警告します。 次の表は、ブラウザのセキュリティインジケータの一般的な状態をまとめたものです。 HTTP(これはまったく安全ではありません)から始めて、リストの各項目は前の項目よりも安全です。

 

(画像をクリックすると拡大します)

今後の変更と将来の計画

ChromeのUsable Securityチームがリリースした 提案 このブラウザの動作を変更するため。 彼らはすべてのブラウザが安全でないHTTP(または混合コンテンツHTTPS)Webサイトに対して積極的にユーザーに警告し始め、負のインジケーターを備えるべきである一方で、HTTPS Webサイトから正のセキュリティインジケーターを完全に削除しようとすることを示唆しています。

彼らは彼らの決定を 2007に発表されましたよりポジティブであると見なされるネガティブなインジケーターとは対照的に、ポジティブなセキュリティインジケーターはユーザーによって無視されると述べています。 Chromeはまた、最初の提案で、「ユーザーはデフォルトでWebが安全であることを期待する必要があり、問題が発生すると警告が表示される」と主張しました。

2018年69月以降、このアイデアにサブスクライブすると、新しいバージョンのChrome(XNUMX以降)では、すべてのHTTP Webサイトに「安全でない」という否定的なインジケーターが表示され、HTTPSに関する「安全な」という肯定的なインジケーターは表示されません。

MozillaのFirefox(バージョン58以降)は、ネガティブセキュリティインジケーターを採用している他のXNUMXつのブラウザーのXNUMXつですが、アクティブコンテンツが混在しているサイトのみを対象としています。 さらに、 公式ブログ記事、彼らはFirefoxのUIセキュリティインジケーターの今後の計画を発表しました:「Firefoxは最終的に、HTTPSを使用しないすべてのページに取り消し線のロックアイコンを表示して、安全でないことを明確にします。」

AppleのSafari(tech release 46+)は、アクティブなコンテンツが混在するWebサイトのネガティブインジケーターを使用する残りのブラウザーですが、将来のセキュリティインジケーターの計画については何も発表していません。

MicrosoftのEdgeおよびOperaブラウザーは、UIセキュリティインジケーターに関する計画について公式に発表していません。

まとめ

インターネット上で安全であること すべき がデフォルトであり、安全でないHTTP接続に対するアクティブなブラウザ警告は、一部のレガシーWebサーバーの所有者がサイトと訪問者のセキュリティに注意を払う大きな動機を提供する可能性があります。 さらに、HTTPS Webサイトから「セキュア」インジケーターを削除することは、(間違いなく)HTTPSを標準的なものにするためのステップです。 ポジティブインジケーターを完全に削除する限り、EVインジケーターなどの一部のインジケーターは、状況によっては、訪問者に重要な保証を提供できます。 将来的には、グローバルなHTTPSの使用が増加するにつれて、興味深い変更や課題が発生する可能性があります。これらのセキュリティトピックやその他のセキュリティトピックの将来の情報については、引き続き確認してください。

いつものように、私たちが信じているSSL.comからこれらの言葉を読んでくれてありがとう より安全な インターネットは 優れた インターネット。

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。