httpsとhttpとブラウザ SSLをどう説明するかという課題 まんが編

ブラウザクロームは、httpじゃだめだって言うようになりました mmblog

SSLをどう説明するかという課題
Googleが2017年10月、アップデートするChrome(クローム)ブラウザで、暗号化を導入していないhttpのウェブサイトについて、「危険」などの表現で、今まで以上の強い表現で指摘し、検索順位にも影響するだろうと言われている。

暗号化しないで通信する仕組み→http 暗号化して通信する仕組み→https

暗号化しないで通信している仕組み、httpサイトについては、2017年9月10日現在でも以下のように表現されています。
ページで一度確認してみてください。

Firefox201709

httpsとはHTTP over SSL/TLS

SSL(Secure Sockets Layer)は、インターネット上でデータを暗号化して送受信できるプロトコルのこと。

httpsにするためには、
1.ドメイン認証
ドメイン名の使用権をもっている。
2.企業実在認証
企業が存在している証明を提出している。
ドメイン名の使用権と組織の法的実在性がある。
3.EV認証
実在証明も提出し、企業の信頼性を証明している。
ドメイン名の使用権、組織の法的実在性に加え、
組織の法的・物理的実在性までを確認して発行される
証明書

上記のいづれかを契約し、運用できるよう、ウェブサイトをチューニングしなくてはいけない。っといくことで、説明できるようになるために・・・・・・・・絵を描きました。

クロームブラウザは、httpじゃだめだって言うようになりました

クロームブラウザは、httpじゃだめだって言うようになりました。

共通鍵交換

共通鍵交換

通信を傍受

通信を傍受 訂正 飼い主だけでなく、ほかからも、通信を傍受がでけてしまう

鍵を持つには、
1.ドメイン認証
2.企業認証
3.EV認証
の、
届けを出す必要がある。

何気なく見ているパソコンの中では、クロームおばさんやモジらおじさん、サファリ君、IEじいさんが、安全なやりとりができるよう願っている。クロームおばさんのだんなさんのgoogleさんは、悪い奴がたくさん出てきたので、ついに、暗号化しないサイトを、鍵を持とうとしないサイトを、httpを、悪い奴ということにした。疑わしきを、罰することとした!!クロームおばさんはヤフーおばさんとも仲が良く、今後の検索順位にも影響が出てくるだろうと言われている。

導入が、わずらわしい理由

わずらわしいポイント1

SSL証明書を、セキュリティ·信頼性で分類した場合は、以下の3種類なのですが、
1.ドメイン認証
2.企業認証
3.EV認証
証明書をインストールまでしてくれる会社と、インストールは自分でやりなさいという会社がある。証明書の価格も、幅が、広い。

N系 インストール代行(びっくりすくらい高い!けれど、ページのチューニングはしてくれない!!表示に問題あっても、知らんぷり。ここ、ちょっと、徹底していて、こわい)

わずらわしいポイント2

表示のチューニング。wwwありか、無しか。旧URLで訪問してきても、手打ちで入力されても、HTTPSのページ表示が出来るようにする。

サイト内のチューニングが必要となる場合もある。←ここが一番わずらわしい。

サイト内のチューニングは、webページの制作方法によっては、とても手間がかかる。

そして、そのチューニングに失敗すると、混在コンテンツ扱いに。

https ルールに漏れた混在コンテンツ

ドメイン認証証明書を導入しても、ページ内にルールに合っていないものが含まれると、混在コンテンツとして、黄色いマークで微妙に注意喚起されてしまう

 企業のセキュリティに関する姿勢の表明

★常時SSL化は検索ランキングに影響するという噂

暗号化しないサイト(http)について、google検索に準ずるyahooにおいても今後影響がでる。うちには関係ない、そんなに使っていない・・・そんなことを言ってるうちに、会社としての評価を下げてしまう。

セキュリティ、気にしてますよという表明

https・・・・うちは、セキュリティを気にしてますという表明、宣言になります。http・・・うちはセキュリティなんぞ、ぜんぜん、気にしていません。っていう、宣言になります。

 

最後に

あー何度書き直したのだろう、手書きの絵。とにかく、大事な事柄。藤塚の話は信用ならんという方は、キーワードは google ssl 2017 この辺から調べを。そんな大事なことは、N○○が教えてくれるのではないのかという質問もきっと出るのだろう。聞いていただいても、全然良いと思う。想定される質問をいろいろ思いながら、ちょっとでも伝わったなら良いことにしよう。

情報

参考:Google透明性レポート

日本、ちょっと、はずかしいくらい低い。

日本人はセキュリティ意識が低い。→身近な話として、米からのお客様、無線の暗号化をしていないと嫌な顔をされる。(旅館店主談)