HTTPS非対応サイトはもういらない!Cloudflareの危険性とデメリット

CloudFlare SSL証明書 複数サイト WordPress
この記事は約17分で読めます。
記事内に広告が含まれています。

どうも、ジャム君です。

アニメティップ情報館は開設当時からほとんどの期間、SSL証明書を使ったURLがHTTPSから始まるサイトになっています。

今もそれは変わらずで、アニメティップ情報館が管理しているどのページにアクセスするためにもURLの頭がHTTPSというもので始まっています。

これって、「アニメの解説や考察、また感想を読みに来るだけだったら関係ないんじゃないか」と思われるかもしれませんが、それは大きな誤解というものです。

URLがHTTPSではなくHTTPで始まるサイトがどれほど危険か、また最近流行りのCloudflareに潜んでいる危険に気づいているか、休憩がてらに読んでいってください。

Cloudflareのすべてが危険なのではなく、最低限度のことを知らないと大きな危険となるという部分を誤解なきようお願いいたします。
スポンサーリンク
スポンサーリンク

HTTPとHTTPSの差

URLがHTTPSで始まらないサイトとHTTPSで始まるサイトとの大きな違いは、そのサイトとの通信が暗号化されているか否かです。

今だと、HTTPSで始まるサイトは鍵のマークが表示されていますよね。

アニメティップ情報館 SSL https

これはサイトを見ている人とサーバー(閲覧者へ文章や画像の送信、コメントや問い合わせ処理などを行う場所)の間でSSLと呼ばれる暗号化がされているかどうかという点で、SがつかないHTTPで始まるのか、SがしっかりとつくHTTPSで始まるのかが変わってきます。

SSLの暗号化がなされていればアニメティップ情報館のようにHTTPSで始まりますが、暗号化がなされていないとHTTPだけで始まってしまうわけです。

最近だとGoogle Chrome 68(パソコン版)からはHTTPSから始まらないサイトを開くと「保護されていない通信」と表示されるようになっており、GoogleもSSL通信を推奨していることがわかります。

さらに今後、個人レベルのサイトでは鍵マークも外される予定です。
より安全性の確認が必要かつ確認も取った上で暗号化されている法人運営主体の大規模サイトは、そのままであると予想されます。

ただ、暗号化がどうだと言われても、あまり困らないように感じますか?

実は暗号化技術は超重要!

まず、SSL証明書を発行して利用しているアニメティップ情報館では、皆さんが使っているスマホやパソコンと、ジャム君が利用しているサーバー間で、データが盗み見られてしまう可能性が激減します。

ショッピングをするようなサイトではないので、たとえ盗み見られてしまったとしても被害は最小限に留められはするのですが、コメントや問い合わせの利用時にメールアドレスを入力した際、本来ならば見られないはずなのに、盗み見られてしまうかもしれないんです。

ただし100%解読不可能な仕組みではないため、無駄な労力を惜しまないのであればやってやれないことはないです。

ですが相当な時間と資金を要してしまうため、現実的ではありませんね。

そんなところに労力を使うのであれば、もっとお金になるような時間と資金の使い方をするのが普通でしょう。

そのためURLがHTTPSから始まるサイトなのであれば、データが盗み見られてしまうリスクはほぼないと思っておいていいです。

ただし既にウイルスに感染している、悪質な利用者がいる無料Wi-Fiスポットを利用しているなど別要因で盗み見られる可能性はあります。

ですがHTTPだけから始まるサイトは危険!

SSL証明書がなく暗号化もされていないデータのやり取りをしているため、悪者が通信を覗き見たらまるまるデータが見えてしまうんです。

個人情報流出を極力避けたいのであれば、アニメティップ情報館のようにHTTPSから始まるサイト以外にはアクセスしないよう心がけたいですね。

企業運営のサイトを見ていても分かるとおり、ふつうのページはHTTPで始まるようになっており、問い合わせフォームなど情報入力が行われる場所だけはHTTPSから始まるようになっているケースもあります。

暗号化がされていないとまだリスクがある!

これだけではなく、SSL証明書を使った暗号化がなされていないと、まだリスクが残っています。

それがデータの改ざんやサイトのなりすましです。

暗号化がなされていないサイトの中に設置されている検索ボックスに文字を入力して検索したのに、こっそり改ざんされて違う結果が表示されるということもあり得ます。

これは送信した文字をそのままの状態(平文)で送っているため、悪意ある人が割り込んでくると文字が任意のものへ簡単に書き換えられやすいのです。

たとえば「こんにちは」と送信したはずなのに「こんばんは」と送ったことにされる、といったイメージですね。

また実はアクセスしているサイトが、別のなりすましたサイトで、こっそり個人情報を収集しているかもしれません。

現在は無料でSSL証明書が導入できるようになったためHTTPSなのかHTTPなのかで判断するのは困難になりましたが、SSL証明書の内容を確認する行為は、ドメイン(URL)が正しいか再確認するチャンスとなります。

アニメティップ情報館では導入が不可能なのですが、銀行のホームページを利用すると、アドレスバーの部分に企業名が表示されることが多くありませんか。

あれは上位のSSL証明書でEV SSL証明書と呼ばれており、実在する企業が何日もかけて承認を受け導入をする必要があります。

しかも個人レベルでは導入できないため、大企業向けです。
(それ故にお高くもあります)

もしジャム君が銀行そっくりのサイトを真似して作っても、HTTPから始まっていたら警告が出ますし、HTTPSから始まっていても表示結果が違うため、よく似た偽サイトを作られてもより本物と見分けが付きやすいというわけです。

アドレスバーに企業名が出てくるEV SSL証明書も、今後鍵マーク同