概要
近年、 HTTPS 採用は急速に増加しています(Googleは 透明性報告書 これは、この進捗状況をより視覚的に示しています)。 HTTPSはSSL /を使用しますTLS データを保護するための証明書であり、サイバー脅威に対する最も重要なブラウザセキュリティメカニズムのXNUMXつです。 Web業界では、安全でないHTTPの代わりにHTTPSを推奨(または要求)しています。
ただし、この追加されたセキュリティにより、ブラウザユーザーとWebサーバー管理者の両方の操作が複雑になります。 HTTPSは、潜在的に失敗し、不明瞭なエラーメッセージを生成する可能性のあるコンポーネントに依存しています。
さらに、セキュリティ警告は、必ずしもサーバーまたはブラウザが攻撃を受けていることを意味するわけではありません。 有効期限が切れた、取り消された、または誤って構成された証明書も、同様のメッセージを生成する可能性があります。 このため、セキュリティエラーメッセージを無視することは非常に危険ですが、多くのユーザーは混乱(またはイライラ)してHTTPSエラーを無視する可能性があります。 (実際、ブラウザープロバイダーは、セキュリティ警告を回避することをますます困難にしています。)
管理者は、訪問者へのセキュリティ警告のWebサイトの一貫した表示がサイトの評判に悪影響を及ぼす可能性があるという追加の懸念に直面します。 サイト管理者が根本的な問題を迅速に調査して修正することが不可欠です。
これを支援するために、最も一般的なHTTPSエラー警告のいくつかを調べ、それらの意味を説明し、管理者がそれらを修正する方法を提案します。
「このウェブサイトは信頼されていません」
SSL /TLS 証明書は通常、呼ばれるサードパーティのエンティティによって発行されます 認証局、またはCA。 CA(など SSL.com)発行する各証明書に暗号で署名します。 これにより、ブラウザーは、特定のWebサイトの証明書が信頼できるCA(ブラウザーの証明書ストアに既に追加されているもの)によって発行されたことを確認できます。
「信頼できない」エラーは、ブラウザが認識しないデジタル署名で署名された証明書をWebサーバーが提示したことを意味します。 ブラウザーには、次のXNUMXつの場合にこのエラーメッセージが表示されます。
- サーバーは信頼されていない 自己署名 証明書、または
- サーバーへの証明書のインストールに失敗したため、ブラウザはその信頼性を正しく確認できません。
自己署名証明書は通常の証明書と同じですが、信頼できるCAではなくWebサーバー管理者によってローカルに作成されます。 このような証明書は、内部URL、静的ページ、またはトラフィックの少ないWebサイトに使用される可能性があります。
自己署名証明書は信頼できるCAにリンクされていないため、ブラウザはそれらを自動的に信頼しません。 ユーザーは、サイトにアクセスする前に、手動でセキュリティ警告をバイパスする必要があります(通常、自己署名証明書を「信頼する」ようにブラウザーに指示することにより)。 手順はブラウザーごとに異なり、信頼できない証明書を発行したユーザー(およびその理由)を正確に把握していない限り、そのような警告を回避しないことをお勧めします
XNUMX番目のケースは、インストールが失敗した(または正しく行われなかった)場合に発生します。 よくあるのは、インストールの実行時に、証明書チェーンとも呼ばれる中間証明書を除外することです。 これにより、CAからWebサイト証明書への信頼の連鎖が切断されるため、ブラウザーは証明書を信頼できるものとして認識せず、このエラーを訪問者に提示します。
「信頼されていません」というエラーが表示された場合は、アクセスされているページを考慮してください。 トラフィック量の多いページや機密性の高いユーザー情報(クレジットカード、請求先住所など)を扱うページでは、自己署名証明書を使用することはほとんどありません。
したがって、XNUMXつの可能性のうちのXNUMXつである可能性があります。サーバー(または接続)がハイジャックされた(および攻撃者が元の証明書を独自のものに置き換えた)か、管理者がサーバー証明書を更新しようとしてプロセスのどこかで失敗しました。
念のため、根本的な問題が解決されるまで、このエラーが表示されているWebサイトの使用は避けてください。
「信頼できない」エラーを修正する方法
ログインページや顧客のチェックアウトなど、外部またはインターネットに直接接続するページに自己署名証明書を使用することはお勧めしません。 実際、PCI-DSSなどのほとんどの標準および認証ドキュメントでは、このような機密性の高い操作のために、認定CAからの適切に署名された証明書を使用する必要があります。
CAから証明書を購入してもこのエラーが発生する場合は、インストールでエラーが発生していないこと、および手順を正しく実行したことを確認する必要があります。 それでも問題が解決しない場合は、発行元のCAに問い合わせてサポートを受けてください。
「あなたの接続は安全ではありません」
一部のブラウザでは、接続が「安全ではない」ではなく「プライベートではない」と記載されている場合がありますが、それらはすべて同じ問題を参照しています。サーバー証明書を検証できません。 ここで、ブラウザはWebサイトへの接続を終了し、代わりにこのエラーメッセージを表示します。 証明書は、失効または期限切れになると検証されません。
デジタル証明書はさまざまな理由で取り消される可能性があり、信頼されたCAは取り消された証明書を公に表示するサービスを維持します。 (これらには 証明書失効リストs(CRL)および オンライン証明書ステータスプロトコル (OCSP)レスポンダ。)ブラウザは、証明書を信頼する前にこれらのサービスに問い合わせます。 失効した証明書を見つけたユーザーは、Webサイトの使用を避けてください。これは、接続が危険にさらされる可能性があるためです。
SSL証明書も一定期間後に自然に期限切れになるため、更新する必要があります。 これにより、すべての資格情報が定期的にチェックされることが保証され、証明書が悪意のある攻撃者ではなく正当な所有者によって制御されるサーバーをカバーすることを合理的に保証します。
「安全でない」エラーを修正する方法
このエラーを回避するために、有効期限が切れる前に証明書を更新することをお勧めします。 SSL.com お客様は、統合された有効期限アラートサービスを使用して、証明書の有効期限が近づいていることを警告できます。
「混合コンテンツ」
混合コンテンツ警告は、HTTP経由で取得されるHTTPS Webサイトのコンポーネントを指します。 一般的な例には、リモートイメージ、スクリプト、または安全に送信されない他の要素が含まれます(同じサーバー上であっても)。
攻撃者は、セキュリティで保護されていないHTTP接続を悪用して、訪問者のブラウザ(またはコンピュータ)を侵害する可能性があります。 明らかなリスクにもかかわらず、多くのWebサイトは依然としてリモートコンポーネントを取得するためにHTTPを使用しています。 混合コンテンツ接続に対してユーザーに警告するために、ブラウザは否定的なセキュリティインジケータを表示します。
ユーザーは可能な限りこのような接続をすべて回避する必要がありますが、残念ながら、多数の正当なWebサイトでこの問題はまだ解決されていません。 したがって、混合コンテンツの警告を表示するWebサイトにアクセスすることを選択するときは、注意と適切な判断の使用をお勧めします。
「混合コンテンツ」の警告を修正する方法:
管理者は、WebサイトのソースコードでURLを検索する必要があります http://
。 ブラウザーが混合コンテンツの警告を表示しないようにするには、すべてのHTTP URLをHTTPSに置き換えます(つまり、 https://
)同じリソースを指すURL。 次のスニペットは例を示しています。
変更する必要があります:
リモートサーバーが既にHTTPSをサポートしている場合は、ソースコードのURLを変更するだけで済みます。 ただし、リモートサーバーを制御できない場合は、サーバーを制御するサードパーティと交渉するか、HTTPSをサポートする別のサービスを見つけてこの警告を排除する必要があります。
「名前の不一致」
サーバーが別のドメイン名のデジタル証明書を提示すると、ブラウザにこのエラーメッセージが表示されます。 これは、証明書ドメインが誤っていたために発生する可能性があります(たとえば、 domain.org
domain.com
)証明書の購入時、設定ミス(予期されたものの代わりに別の証明書を提示)、または証明書がWebサイトで使用される複数のドメインまたはサブドメインをカバーできないため。
「名前の不一致」エラーを修正する方法
ドメインのスペルが正しくない場合は、考えられる解決策について発行元のCAに連絡する必要があります。
正しい証明書を利用するようにサイトを更新することで、設定ミスを解決できます。
最後に、複数のドメイン(またはサブドメイン)を含むWebサイトを管理する場合は、 サブジェクトの別名(SAN)証明書 複数の個別の証明書の代わりに。 単一のSAN証明書は、何百もの異なるドメインやワイルドカードドメイン(例: *.ssl.com
) に加えて 複数の証明書よりも管理と保守がはるかに簡単です(もちろん、手帳のほうが簡単かもしれません)。
まとめ
HTTPSをブラックボックスと考えるかもしれませんが、実際には、HTTPSが効果的に機能するために協調して動作する必要がある相互接続されたコンポーネントのコレクションです。 私たちが説明した警告メッセージは、インターネットの迷惑ですが重要な部分です。 これらのメッセージの基本的な理解を提供することで、ユーザーの安全を維持し、管理者の効率を向上させることができます。
SSL.comをご利用いただきありがとうございます。 ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。