非SSLでログインの窓があるWEBページは「保護されていません」と表示される警告がサーチコンソールに出るようになった

hogosareteinailogin.jpgGoogleChrome(グーグルクローム)でWEB閲覧するとアドレスバーの左横に「保護された通信」や「保護されていません」という表示がされるようになっている。「保護された通信」と表示されるのはSSL対応がされているhttpsから始まるWEBサイトのページである。一方、非SSLのhttp(httpsのsが無い)から始まるWEBサイトは注意マークが表示される。しかし、ログインの窓があるページになると「保護されていません」という強い警戒の表示になる。このことがサーチコンソールからの情報でもわかった。

▼グーグルサーチコンソールで警告が表示された画面
hogosareteinaikurikara.jpg

上記の画面で表示されているURLは当社で管理している独自ドメインのひとつだが、ここ数年メンテナンスをしていないのでなんらかの対応が必要な状況である。

また、この警告文には

長期的には、非暗号化プロトコルである HTTP で配信されるすべてのページを「安全でない」と明示することを計画しており、この新しい警告はその第一段階です

という明記がる。

つまり、https対応をしないWEBサイトはいずれすべてのページで「保護されていません」という表示がされるようになるということである。

今後、すべてのWEBサイトはhttps対応が必須になったということである。

HTTPS とは

Googleのヘルプに「httpsでサイトを保護する」という情報ページがある。そのページに「httpsとは」という解説がある。
以下https://support.google.com/webmasters/answer/6073543からの引用

HTTPS(Hypertext Transfer Protocol Secure)は、ユーザーのパソコンとサイトの間で送受信されるデータの完全性と機密性を確保できるインターネット接続プロトコルです。ユーザーはウェブサイトにアクセスするとき、安全でプライベートにオンラインを利用していると考えています。サイトのコンテンツに関係なく、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を採用することをおすすめします。

HTTPS で送信されたデータは、トランスポート レイヤ セキュリティ(TLS)プロトコルで保護されます。このプロトコルでは主に 3 つの保護レイヤを提供します。

  1. 暗号化 - 通信データの暗号化によって、盗聴から保護されます。つまり、ユーザーがウェブサイトを閲覧している間、誰かがそのやり取りを「聞き取る」こと、複数ページにわたるユーザーの操作を追跡すること、情報を盗むことはいずれも阻止されます。
  2. データの完全性 - データの転送中に、意図的かどうかを問わず、データの改ざんや破壊が検出されずに行われることはありません。
  3. 認証 - ユーザーが意図したウェブサイトと通信していることが保証されます。中間者攻撃から保護され、ユーザーの信頼を得て、ビジネス上の他の利益につなげることができます。

対応策についてもGoogleは提示している。主なものは、

堅固なセキュリティ証明書を使用する
サーバー側の 301 リダイレクトを使用する
HTTPS ページを Google がクロール、インデックス登録できるかどうか確認する
HSTS をサポートする

などである。

詳しくは
https://support.google.com/webmasters/answer/6073543
をご覧ください。

このページはTwitter、はてな、Google+、FacebookなどのSNSで以下のような反響があります。
なお、コメントはFacebookにログインしている状態でのみ受け付けております。セキュリティ上の観点からこのようにしております。ご了承願います。
このエントリーをはてなブックマークに追加  
 

この記事のURL「https://dm2.co.jp/2017/05/hogosareteimasen.html」をQRコードで表示
この記事のURL「https://dm2.co.jp/2017/05/hogosareteimasen.html」をQRコードで表示「https://dm2.co.jp/2017/05/hogosareteimasen.html」
パソコンで表示されたページをスマフォでも見たい場合は、このQRコードをリーダーで読むと表示されます。