HTTPSで始まらないサイトはもういらない!CloudFlareは実は危険

CloudFlare SSL証明書 複数サイト WordPress

どうも、ジャム君です。

アニメティップ情報館は開設当時からほとんどの期間、SSL証明書を使ったURLがHTTPSから始まるサイトになっています。

今もそれは変わらずで、アニメティップ情報館が管理しているどのページにアクセスするためにもURLの頭がHTTPSというもので始まっています。

これって、「アニメの解説や考察、また感想を読みに来るだけだったら関係ないんじゃないか」と思われるかもしれませんが、それは大きな誤解というものです。

URLがHTTPSではなくHTTPで始まるサイトがどれほど危険か、また最近流行りのCloudFlareに潜んでいる危険に気づいているか、休憩がてらに読んでいってください。

スポンサーリンク

HTTPとHTTPSの差

URLがHTTPSで始まらないサイトとHTTPSで始まるサイトとの大きな違いは、そのサイトとの通信が暗号化されているか否かです。

今だと、HTTPSで始まるサイトは鍵のマークが表示されていますよね。

アニメティップ情報館 SSL https

これはサイトを見ている人とサーバー(閲覧者へ文章や画像の送信、コメントや問い合わせ処理などを行う場所)の間でSSLと呼ばれる暗号化がされているかどうかという点で、SがつかないHTTPで始まるのか、SがしっかりとつくHTTPSで始まるのかが変わってきます。

SSLの暗号化がなされていればアニメティップ情報館のようにHTTPSで始まりますが、暗号化がなされていないとHTTPだけで始まってしまうわけです。

最近だとGoogle Chrome 68(パソコン版)からはHTTPSから始まらないサイトを開くと「保護されていない通信」と表示されるようになり、GoogleもSSL通信を推奨していることがわかります。

さらに今後、個人レベルのサイトでは鍵マークも外される予定です。
より安全性の確認が必要かつ確認も取った上で暗号化されている法人運営主体の大規模サイトは、そのままであると予想されます。

ただ、暗号化がどうだと言われても、あまり困らないように感じますか?

実は暗号化技術は超重要!

まず、SSL証明書を発行して利用しているアニメティップ情報館では、皆さんが使っているスマホやパソコンと、ジャム君が利用しているサーバー間で、データが盗み見られてしまう可能性が激減します。

ショッピングをするようなサイトではないので、たとえ盗み見られてしまったとしても被害は最小限に留められはするのですが、コメントや問い合わせの利用時にメールアドレスを入力した際、本来ならば見られないはずなのに、盗み見られてしまうかもしれないんです。

ただし100%解読不可能な仕組みではないため、無駄な労力を惜しまないのであればやってやれないことはないです。

ですが相当な時間と資金を要してしまうため、現実的ではありませんね。

そんなところに労力を使うのであれば、もっとお金になるような時間と資金の使い方をするのが普通でしょう。

そのためURLがHTTPSから始まるサイトなのであれば、データが盗み見られてしまうリスクはほぼないと思っておいていいです。

ただし既にウイルスに感染している、悪質な利用者がいる無料Wi-Fiスポットを利用しているなど別要因で盗み見られる可能性はあります。

ですがHTTPだけから始まるサイトは危険!

SSL証明書がなく暗号化もされていないデータのやり取りをしているため、悪者が通信を覗き見たらまるまるデータが見えてしまうんです。

個人情報流出を極力避けたいのであれば、アニメティップ情報館のようにHTTPSから始まるサイト以外にはアクセスしないよう心がけたいですね。

暗号化がされていないとまだリスクがある!

これだけではなく、SSL証明書を使った暗号化がなされていないと、まだリスクが残っています。

それがデータの改ざんやサイトのなりすましです。

暗号化がなされていないサイトの中に設置されている検索ボックスに文字を入力して検索したのに、こっそり改ざんされて違う結果が表示されるということもあり得ます。

これは送信した文字をそのままの状態(平文)で送っているため、悪意ある人が割り込んでくると文字が任意のものへ簡単に書き換えられやすいのです。

たとえば「こんにちは」と送信したはずなのに「こんばんは」と送ったことにされる、といったイメージですね。

また実はアクセスしているサイトが、別のなりすましたサイトで、こっそり個人情報を収集しているかもしれません。

現在は無料でSSL証明書が導入できるようになったためHTTPSなのかHTTPなのかで判断するのは困難になりましたが、SSL証明書の内容を確認する行為は、ドメイン(URL)が正しいか再確認するチャンスとなります。

アニメティップ情報館では導入が不可能なのですが、銀行のホームページを利用すると、アドレスバーの部分に企業名が表示されることが多くありませんか。

あれは上位のSSL証明書で、実在する企業が何日もかけて承認を受け導入をする必要があります。

しかも個人レベルでは導入できないため、大企業向けです。
(それ故にお高くもあります)

もしジャム君が銀行そっくりのサイトを真似して作っても、HTTPから始まっていたら警告が出ますし、HTTPSから始まっていても表示結果が違うため、よく似た偽サイトを作られてもより本物と見分けが付きやすいというわけです。

いずれも個人レベルでは「完全に」というのは無理なのですが、SSL証明書を使ってしっかりとHTTPSから始まるサイトにしているのであれば、その驚異にさらされる心配を大きく減らすことができます。

「サイトを見ているだけだから関係ない」と思っていると、大変なことにもなりかねないのが怖いところなわけです。


流行りのCloudFlareは実は危険

最近、サイトを立ち上げている人の中では流行りになっているCloudFlareというサービスがあるのですが、このサービスは危険も伴います。

本来は多くの基本サービスが無料で利用でき、サイトの表示速度を上げることもできる素晴らしいサービスでもあるのですが、ことSSL証明書に関してはお金を払わないとダメです。

無料で使っていくこともできるのですが、そのようなサイトはこのような証明書の内容で通信を行うことになります。

CloudFlare SSL証明書 複数サイト

これはCloudFlareを使っているとあるサイトのSSL証明書の中身なのですが、1つのサイトではなく、いくつものサイトが同じ証明書を使っています。

HTTPSのサイトにはなりますし、基本機能としてはデータを盗み見られることもなく、ないよりマシなのですが、これはいけません!

CloudFlareの無料SSL証明書は何が問題なのか

CloudFlareで利用できる無料のSSL証明書は、多数のサイトが同じ証明書を使ってしまうため、共用SSLと呼ばれています。

一方でアニメティップ情報館で使われているような、そのサイト専用のSSL証明書は、独自SSLと呼ばれています。

まず共有SSLでは独自ドメイン(アニメティップ情報館ならば[anime-tip.com])が利用できないため、サイトのURLと証明書に書かれた「どのサイトを認証しているのか」の基本情報が一致しません。

中身をよく見ていけば、たくさんのアドレスの中にサイトのURLを発見できるのですが、簡易的に見たら偽装されたサイトに見えてもおかしくありません。

また1つの共用SSLに登録されたサイトが増え、アクセスも増えれば増えるほど、サイトの表示速度が低下します。

CloudFlareってサイトの表示速度を上げたい人が多く使っているのですが、本末転倒ですね。

解決するためには独自SSLをCloudFlareで利用すればいいのですが、基本無料で利用できる範囲を超え、月額料金がかかってくるため、先の画像のようなサイトは「ケチっている」というのが丸わかりになるわけです。

はっきり言って、そういうところに無頓着、ケチるような運営者がいるようなサイトは、個人情報もどう扱っているのかわかったものではありませんので、近寄らないのが吉です。

あ、ジャム君はCloudFlareもいいと思うのですが、AmazonがやっているCloudFrontもいいかな~と思ってはいます。

今はまだ必要なさそうですけどね。

CloudFlareを利用するとしても、SSL証明書は別途用意するつもりです。

HTTPSで始まっているサイトでも簡単に信用できない

最近のサイトだと無料で使えるSSL証明書が普及してきたためだいぶ減っているはずなのですが、結構前からCloudFlareを利用しているサイトや、Google Chromeの警告表示に合わせて慌ててCloudFlareを導入したようなサイトでは、たとえアドレスバー上ではHTTPSで始まっているサイトでも簡単には信用できません。

その理由が通信の仕組みにあります。

通常、CloudFlareといったCDNと呼ばれるサービスを利用しないアニメティップ情報館のようなサイトであれば、次のような接続方法です。

ユーザー⇔サーバー(サイト)

しかしCloudFlareのようなCDNサービスを利用すると、接続方法がやや変わります。

ユーザー⇔CloudFlareサーバー(CDN)⇔サーバー(サイト)

ただしCDNサーバー上にサイトを閲覧するために必要なすべての情報が保存されている場合は、ユーザーとCDNサーバー間のみの通信で終わることもあります。

つまりCloudFlareでHTTPSにしたように対応したように見せかけることで、実は本来アクセスされるはずのサイトはHTTPのままで丸見え通信のままでした、という可能性もあるのです。

ユーザーCloudFlareサーバー(CDN)サーバー(サイト)

サイトの中をより入念に確認すれば防ぎやすいものではありますが、とくにスマホからのアクセスでは面倒です。

全CloudFlare利用サイトが危険なわけでもありませんが、危険なまま放置されているサイトも中には存在してしまっているというのを忘れてはなりません。

Let’s EncryptからCoreSSLに証明書を変更

ジャム君が利用しているエックスサーバーで取り扱いのある証明書として、無料で使えるLet’s Encryptという証明書は、ほかのサーバーでも利用できる場所が増え、独自SSLというメリットも持っています。

ただ6月末のメンテナンスで、CoreSSLの証明書に入れ替えをしました。

理由ですか?
Let’s Encryptだとありふれてる感があるから。

無料サービスですがLet’s Encryptも急なサービス終了ということはないでしょうし、そのまま使い続けてもよかったのですが、ちょっと様子見。

別に証明書が変わっただけで、性能が上がるようなことはありません

一応、6月下旬からCoreSSLはサイトシールと呼ばれるものに対応はしているのですが、アニメティップ情報館はサイトの構成と証明書申し込みの都合上、サイトシールには今のところ未対応です。

エックスサーバーを利用していてCoreSSL導入を考えている方で、サイトシールに対応させようとしているのであれば、2Way利用での申込みは考えてください。
コモンネームと同一でないと、処理されません。

恐らく他社でも挙動は同じと思われますが、詳細はご利用のサーバー会社にお問い合わせください。

ちなみにLet’s Encryptのときは、こんな感じの証明書でした。

Let's Encrypt SSL証明書

CoreSSLに変更した現在は、こうなっています。

CoreSSL SSL証明書

CoreSSLはLet’s Encryptと違い、有料のSSL証明書なのがデメリットですが、3か月更新ではなく最低1年更新なので、来年まではエックスサーバーを使い続ける限りCoreSSLの証明書を使い続けられますね。

エックスサーバーからほかのサーバーに移転させるとなると、持ち出しはできないので、使えなくなっちゃうのはもったいないところでしょうか。

Let’s Encryptは3か月更新ながら自動で更新してくれ、さらに無料で使えるメリットはあるのですが、たまに自動更新失敗していることがあるので、うっかりするとサイトにアクセスできなくなっているんですよね……

さいごに

アニメティップ情報館で解説や考察、また感想を楽しみにしてくださっている方は、どうぞ安心してください!

しっかりと情報は守ってあります。

今でも平気で問い合わせフォームにもHTTPSで始まらないサイトを運営している管理者は、ジャム君からしたら信じられませんね。

特に企業レベルでSSL非対応のサイトを見つけてしまうと、信頼して見ることなどできません。

一応あえてSSL非対応にしておいて、問い合わせフォームといった個人情報を扱うページだけSSL対応させるという手段もあります。

これは正当な手段なので、今後どういう形がスタンダードになるのかはわかりませんが、問題はありません。

暗号化(SSL)を介する必要がないため、より高速にホームページを表示できる可能性もあります。
また古いパソコンやガラケーにも対応しやすいメリットもあります。

ほかにも、せっかくCloudFlareを利用しているのに、共有SSLを利用している信用度の低いサイトは、本当にSSL化されたサイトなのか確認が手間なので、ケチらず独自SSLを使ってほしいものです。

そこにお金をかけるようなサイトならば、元のサーバー側もSSL証明書が適用されSSL化されていることがほとんどです。
(100%とは言いませんけどね)

何でもかんでも金をかければいいわけではないのですが、少なくとも安心して利用できる程度には整備したサイトを用意してお待ちしておきたいですね。

スポンサーリンク
スポンサーリンク
WordPress
スポンサーリンク
関連記事とスポンサーリンク
スポンサーリンク
ジャム君をフォローする
アニメティップ情報館 アニメ解説&考察&感想フロア

コメント

  1. 匿名 より:

    補足です

    HTTPS 通信がされていること自体は確認可能です。
    Tlsモジュールを複合化という事です。

    サイト改ざんとhttpsモジュールは関係ありません。
    あくまで暗号化方式なだけです。
    なのて、サイト改ざんのリスクは接続元の環境によるのです。
    偽装電波などをキャッチしてしまうと影響を受けやすいのです。