1. Google Chrome のサイトの安全性を示すアイコン
Google Chrome で SSL 接続するページを開いたら、https に赤い斜線が表示された。
この表示になる理由は、「ウェブサイトのセキュリティ インジケータ - Google Chrome ヘルプ」 によると、
SSL を使用しているサイトですが、サイトのページにセキュリティで保護されていない危険なコンテンツが含まれているか、サイトの証明書に問題があることが Google Chrome で検出されました。このページでは機密情報を入力しないでください。証明書が無効であったり、https に重大な問題があったりする場合、サイトへの接続をだれかが改ざんしようとしている可能性があります。
鍵のマークが緑色になるサイトでは Extended Validation 証明書 – Wikipedia が使用されている。
独立した監査によりWebTrust指針(もしくはそれと同等)の認定の一部を満たしたCAだけがEV SSL証明書の発行を許される。EV証明書は以下のような詳細な発行要件に従って発行される。
- ウェブサイト所有者が運用上および物理的に実在しているだけでなく、法的実在性も確立されていること
- ウェブサイト所有者により、該当URLに対する排他的な制御が確立されていること
- ウェブサイト所有者のための作業者の同定と責任、および、責任ある役員によって署名された法的義務を伴う文書の確認
2. 外部サイトからリソースを読み込んでいることが理由
挿入された JavaScript
https に赤い斜線が表示されたページに問題となるものがあるか探したら、古い Google Analytics のコードが挿入されていた。
<script src="http://www.google-analytics.com/urchin.js" type="text/javascript"> </script>
外部サイトにある JavaScript を読み込んでいるのがいけなかったようだ。
ちなみに、現在の Google Analytics コードを使う場合は大丈夫。
*新しいトラッキングコードの JavaScript ファイル ga.js
ga.js は今後提供を予定している、Analytics の様々な新機能に対応しています。また e コマースのトラッキングの設定やSSL コンテンツ用のカスタマイズが容易になるなど設定面でも数多くのメリットがございます。( アナリティクス 日本版 公式ブログ: [グラフの複数データ表示機能] と [新しいトラッキングコード用の JavaScript ] をリリースしました より)
画像
Flickr などの、外部にある画像を読み込んだ場合は、以下の表示となった。
「ウェブサイトのセキュリティ インジケータ - Google Chrome ヘルプ」 によると、
SSL を使用しているサイトですが、サイトのページにセキュリティで保護されていないコンテンツが含まれていることが Google Chrome で検出されました。このページで機密情報を入力する場合は注意が必要です。セキュリティで保護されていないコンテンツは、だれかがページを操作するための抜け道になる可能性があります。
画像は自サイト内に置くことにより、上記表示を回避できる。
3. Firefox のサイトの安全性を示すアイコン
追記(2013/09/24): Firefox でも Google Chrome と同じようにサイトの種類によってアイコンの表示が変わる。
Web サイトへの接続が安全か確認するには | Firefox ヘルプ によると、
Web サイトを表示する時、サイト認証ボタンは、灰色の地球、灰色の錠前、灰色の警告、または緑色の錠前のいずれかのアイコンで表示されます。これらのアイコンをクリックすると、Web サイトについてのセキュリティ情報が表示されます。
灰色の地球アイコンは次のことを示します:
- Web サイトは認証情報を提供していません。
- Firefox と Web サイトの間の接続は暗号化されていない、または部分的にしか暗号化されていないため、盗聴者の攻撃に対して安全であると考えてはいけません。
灰色の錠前アイコンは次のことを示します:
- Web サイトのアドレスは検証されています。
Firefox と Web サイトの間の接続は暗号化されており、盗聴者の攻撃から保護されています。 …しかし、実際に誰がドメインを所有しているかは検証されていません。
緑色の錠前アイコンは次のことを示します:
- Web サイトのアドレスは Extended Validation (EV) 証明書で検証されています。
Firefox と Web サイトの間の接続は暗号化されており、盗聴者の攻撃から保護されています。 ……そのサイトが Extended Validation (EV) 証明書 を使用していることを意味します。EV 証明書は他の証明書と明らかに異なり、さらに厳格な身元の検証プロセスを必要とする特別な形式のサイト証明書です。…緑色のサイト認証ボタンは、安全な接続がされており、さらに、ドメインの所有者が誰であるか確かめられていることを示しています。
更に「盾」のマークのアイコンが表示されることがある。
安全でないコンテンツがセキュリティに及ぼす影響 | Firefox ヘルプ によると、
訪れた HTTPS のページに HTTP で配信されているコンテンツが含まれていた場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツが攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。
0コメント:
コメントを投稿