「保護されていない通信」と表示されるホームページは、データの改ざんや盗聴などの攻撃を受ける恐れがあります。ユーザーの個人情報を扱うサイトで、この警告メッセージが表示されているならば、早急に対処すべき状態です。
この記事では、「保護されていない通信」と表示される原因と解除方法を、初心者向けに解説します。「保護されていない通信」を解除するメリット・デメリットも紹介するので、サイトを安全に運用したい方は、ぜひ最後までご覧ください。
この記事の目次
見るだけなら大丈夫?「保護されていない通信」の危険性
「保護されていない通信」と表示されるWebページは、接続が安全でない可能性があります。具体的には、WebページがHTTP接続の場合に「保護されていない通信」と表示されます。
HTTP接続は安全性が低く、通信中にデータの改ざんや盗聴、なりすましなどの攻撃を受ける危険性も。そのため、GoogleはHTTPS接続を強く推奨しています。2018年7月よりGoogleでは、HTTP接続のサイトにおいて「保護されていない通信」と警告メッセージを表示するようになりました。
「見るだけなら大丈夫」と考える方もいるかもしれませんが、HTTPS接続のサイトよりも脆弱性があるのは確かです。第三者にデータを改ざんされる恐れがあるため、ログイン情報やクレジットカード番号の入力は控えましょう。
自身がサイト運営者である場合、HTTP接続のままではユーザーに害を及ぼす可能性があるので、早急にHTTPS接続に切り替える必要があります。
「保護されていない通信」と表示される原因
先ほども触れた通り、「保護されていない通信」と表示されるのはWebページがHTTP接続だからです。警告メッセージを解除するには、サイトをSSL(TLS)に対応させ、HTTPS接続にしなければいけません。
HTTP接続のURLは「http://」からはじまり、HTTPS接続の場合は「https://」からはじまるのが特徴です。なお、アドレスバーにおける「http://」や「https://」は省略されることもあります。
HTTPS接続のサイトでは、Googleから安全性が認められて南京錠アイコンが表示されます。HTTPやHTTPS、SSLについては次章にて詳しく説明するので、参考にしてみてください。
HTTPとHTTPSの違い
HTTPとは「Hyper Text Transfer Protocol(ハイパーテキストトランスファープロトコル)」の略称です。WebサーバとWebブラウザの間で、テキストや画像などのデータを通信する際の通信規約(プロトコル)のこと。通信内容が暗号化されないため、第三者からデータを盗み見される危険性があります。
対して、HTTPSとは「Hypertext Transfer Protocol Secure(ハイパーテキストトランスファープロトコルセキュア)」の略です。HTTPの末尾に「安全」を意味する「Secure(セキュア)」が付いています。SSLに対応しており、データを暗号化して送受信できることから、HTTPよりも安全性が高いです。
以前はHTTPが主流でしたが、現在では安全面を考慮してHTTPS接続のサイトが主流となっています。
サイトのSSL化とは
SSL(Secure Sockets Layer)とは、インターネットでデータ通信を暗号化することです。データをSSL化すると、以下のようなランダムな文字列に変換されます、
山田太郎→rdo73o4ybq1lx
大阪府→29trk7zh
SSLを用いてサイトを暗号化することで、HTTPS接続に対応できます。なお、SSLの脆弱性を修繕し、新しいバージョンにしたのがTLS(Transport Layer Security)です。TLSを含めてSSLと呼ばれる傾向にあるため、以降はSSL表記で統一します。
「保護されていない通信」を解除する手順
「保護されていない通信」を解除する手順は、以下の3ステップです。
- CSRを作成する
- SSLサーバー証明書を申し込み、インストールする
- サイトのURLを「https://」に変更する
ひとつずつ見ていきます。
CSRを作成する
SSLサーバー証明書を発行するための署名要求を「CSR(Certificate Signing Request)」といいます。そもそもSSLサーバー証明書とは、ブラウザとサーバ間にて通信データの暗号化を行うための電子証明書を指します。
流れを説明すると「警告メッセージを消すにはSSL化が必要→SSL化にはSSLサーバー証明書が必要→SSLサーバー証明書の発行にはCSRが必要」ということです。つまり「保護されていない通信」を解除するには、まずCSRを作成しましょう。
CSRの作成時には、ディスティングイッシュネームを入力します。ディスティングイッシュネームはサイト運営者情報の総称です。サイト運営者の所在地や組織名、SSL接続するURLなどが含まれ、発行される証明書に記載されます。
CSRの作り方は契約するサーバーによって異なるので、詳しい手順はサーバーが提供する情報をご参照ください。
SSLサーバー証明書を申し込み、インストールする
CSRを作成したら、認証局にSSLサーバー証明書を申し込みます。SSLサーバー証明書には「共有SSL」と「独自SSL」の2種類があり、HTTPS接続に必要なのは独自SSLです。
加えて、独自SSLには3つの種類があります。
| 特徴 | 認証の厳格さ | コスト | |
|---|---|---|---|
| ドメイン認証型(DV) | 個人サイト向け | 低 | 低 |
| 企業認証型(OV) | 法人サイト向け | 中 | 中 |
| EV認証型 | 法人サイト向け | 高 | 高 |
認証が厳格なのは「EV→OV→DV」の順番で、その分コストも高くなります。サイトの目的に応じて、適切な独自SSLを選びましょう。
認証局による審査を通過してSSLサーバー証明書が発行されたら、インストールして設定を進めていきます。
サイトのURLを「https://」に変更する
ここまでの手順でWebサイトのSSL化は完了していますが、サイト内にある画像やテキストのリンクは「http」のままです。そのため、内部のリンクも「http」から「https」に変更しなければいけません。
httpsへの置き換えが必要なのは
画像やテキストの内部リンク
などが挙げられます。
リンクの置き換えが完了したら、httpのURLにアクセスがあった際に、自動で新しいURLへ転送する「リダイレクト設定」を行います。リダイレクト設定をしなくても警告メッセージは解除されますが、ユーザーの利便性を考慮すると、対応するほうが望ましいです。詳細は「「保護されていない通信」に対応する際はリダイレクト設定も忘れずに」にて解説します。
すべての対応が終わった段階で、ブラウザから新しいhttpsのページにアクセスできるかをチェックします。サイト内のリンクがそれぞれ正しく機能しているか、も忘れずに確認しましょう。
HTTPS接続なのに「保護されていない通信」と表示される原因・対処法
HTTPS接続なのに「保護されていない通信」と表示される原因・対処法を、4つ紹介します。
- SSL化されていないファイルを読み込んでいる
- サーバー証明書の有効期限が切れている
- TLSプロトコルのバージョンが古い
- ユーザーのブラウザやデバイスに問題がある
「保護されていない通信」の表示が消えない……と困っている方は、ぜひ参考にしてみてください。
SSL化されていないファイルを読み込んでいる
SSL化されていないファイルを読み込んでいると、サイト自体がHTTPS接続であっても「保護されていない通信」と表示されてしまいます。サイトにアップロードされた画像や動画には、それぞれURLが割り振られます。サイト内部のURLがhttpのままでは、サーバー全体がSSL化していないとみなされるのです。
「サイト内のファイルをすべてURLを置き換えたはずなのにエラーが消えない」とお困りの方もいるでしょう。そんな方に向けて、SSL化されていないファイルを特定する方法や解決方法を紹介します。
SSL化されていないファイルを特定する方法
まずは対象のWebサイトをChromeで開き、右クリックします。その後「検証」を選択してください。
すると、下記のように画面右半分に検証画面が表示されます。複数あるタブのなかから「Console」というタブを選択しましょう。Consoleからは、ブラウザから出力されたログを確認できます。
Consoleタブでは、下記のようにサイト内のURLが確認可能です。URLをひとつずつ見ていき、どの画像・動画が「http」のままなのかをチェックします。
SSL化されていないファイルを解決する方法
SSL化されていないファイルが判明したところで、「https」になっていない画像・URLの上で右クリックします。そして「画像アドレスをコピー」を選択しましょう。コピーしたURLを確認し、「http://」ではじまっていることを再度確認します。
コピーしたURLに「s」を加えて「https://」にし、ご利用中のサイトの編集画面からURLを置き換えます。ページを更新して、サイトがSSL化されていることがチェックできれば完了です。「SSL化されていないファイルを読み込んでいる」の中の「SSL化されていないファイルを特定する方法」で紹介したConsoleタブを開くと、画像または動画のURLが「https://」に変更されているはずです。
サーバー証明書の有効期限が切れている
SSLサーバー証明書にはサイト運営者の情報がまとめられており、サーバーの実在性を証明するために欠かせないもの。WebページにてHTTPS通信を行うには、SSLサーバー証明書が不可欠です。
サーバー証明書の有効期限が切れているとSSL化ができなくなり、「保護されていない通信」と表示されます。証明書の期限は、Google ChromeやMicrosoft Edgeなどのブラウザから確認できます。期限が切れていたときは、証明書を更新してください。
TLSプロトコルのバージョンが古い
TLSプロトコルのバージョンが古いことも、「保護されていない通信」と表示される原因のひとつ。2024年10月時点で、最新のバージョンはTLS1.3です。
サイトで利用しているTLSのバージョンをチェックする方法は、次の通りです。
- Google Chromeでサイトにアクセスする
- 右クリックして「検証」を選択する
- 「Security」タブをクリックする
- TLSのバージョンを確認する
TLS1.0やTLS1.1を利用しているサイトに接続すると、警告メッセージが表示されてしまいます。この場合は、TLSを最新バージョンに更新すれば問題が解決されます。
ユーザーのブラウザやデバイスに問題がある
Webサイトではなく、ユーザーのブラウザやデバイスに問題がある可能性もゼロではありません。「これまで紹介した3つの原因に当てはまらない」または「ほかのブラウザ・デバイスで閲覧する際には警告メッセージがでない」ときに試したい対処法は、以下の通りです。
- ページを更新する
- ネットワークを更新する
- デバイス・ブラウザを更新または再起動する
ネットワークに問題が発生すると「保護されていない通信」が表示されることも。別のネットワークで警告メッセージが出ないときは、接続環境を変えて再度サイトにアクセスしてみましょう。また、デバイス・ブラウザを最新バージョンにすることで、問題が解消するパターンもあります。
「保護されていない通信」に対応する際はリダイレクト設定も忘れずに
変更前のhttpからはじまるURLにアクセスがあった際に、自動的に新しいhttpsのURLに転送する設定を「リダイレクト設定」といいます。リダイレクト設定をしなくても「保護されていない通信」は解除されますが、設定しているほうがユーザーに対して親切です。
たとえば、ユーザーがhttpのURLをブックマークしていたり、外部サイトに古いURLが貼られていたりする場合に問題が発生します。サイトURLがhttpsに変更されているので、古いURLでアクセスするとリンク切れとなるのです。
結果、ユーザーはページが表示されないため、サイトから離脱してしまいます。ユーザーのアクセス機会を逃さないためにも、忘れずにリダイレクト設定まで完了しましょう。
「保護されていない通信」に対応している企業が大多数を占める
Webサイトのセキュリティ意識は高まっており、「保護されていない通信」に対応している企業がほとんどです。2024年9月時点で、国内上場企業Webサイトにおける常時SSL化の対応状況に関して、次のような調査結果が発表されています。
・対応済み:93.2%(3,687社)
・未対応:6.8%(269社)
・EV認証型:6.4%(252社)
・企業認証型(OV):31.1%(1,231社)
・ドメイン認証型(DV):55.7%(2,204社)
・未対応:6.8%(269社)
SSL化に対応する企業のうち、ドメイン認証型の証明書を採用する企業が多い傾向にあります。
「保護されていない通信」を解除するメリット
「保護されていない通信」を解除するメリットは、主に3つあります。
- サイトのセキュリティを強化できる
- ユーザーの信頼性が向上し離脱を防げる
- SSL化したサイトのほうが上位表示されやすい
それぞれ解説していきましょう。
サイトのセキュリティを強化できる
「保護されていない通信」を解除し、サイトをSSL化することでセキュリティ強化が見込めます。HTTP接続では、第三者により通信を傍受される危険性があり、データの改ざんや盗聴、なりすましなどのリスクが高まるのです。
名前や住所、パスワード、クレジットカード情報といった重要な個人情報を外部に流出させないためには、速やかにサイトをHTTPS接続に変更する必要があります。
ユーザーの信頼性が向上し離脱を防げる
サイトを開いたときに「保護されていない通信」と表示されれば、ほとんどのユーザーが「このサイトは危険なのでは?」と不安に感じるでしょう。ユーザーが名前やクレジットカードの入力をためらい、購買の機会を逃す可能性もあります。
ホームページを効果的に運用するには、いかにユーザーの信頼を獲得し、離脱を防止するかが重要です。安心してサイトを閲覧してもらうには、サイトのSSL化が欠かせません。
SSL化したサイトのほうが上位表示されやすい
検索結果で上位に表示されるサイトほどユーザーの目に触れる機会が増え、効率よく自社の情報をアピールできます。検索した際に「上位1〜3位の記事しかチェックしない」という方も多いのではないでしょうか。
GoogleはSSL未対応のサイトに関して、検索順位を下げるアルゴリズムを導入していると発表しています。「わざわざホームページを作ったのに全然上位に表示されない」といった事態を防ぐためにも、サイトをHTTPS接続に対応しておきましょう。
「保護されていない通信」を解除するデメリット
「保護されていない通信」を解除するデメリットは、以下の通りです。
- サーバー証明書の取得にコストがかかる
- サイトのSSL化には手間がかかる
- SNSのシェアやいいね数がリセットされる
デメリットも理解した上で、サイトのSSL化を検討してみてください。
サーバー証明書の取得にコストがかかる
サイトをSSL化するには、サーバー証明書の取得にコストがかかります。そのため「サイトに追加でコストをかけたくない」と考える方もいるかもしれません。
しかし、ユーザーに離脱されてしまうと、苦労して作成したサイトが形ばかりのものになってしまいます。制作費・運用費をかけたサイトを効果的に使うためにも、SSL化するための費用は必要です。
また、無料の証明書もありますが、個人情報を扱うようなサイトでは、セキュリティの高い有料の証明書を導入するほうが安心です。
「SSLサーバー証明書を申し込み、インストールする」で説明したように、証明書には
・企業認証型(OV)
・EV認証型
の3種類があります。厳格な認証になるほどコストが高いので、自社サイトの特徴に合わせて証明書を選びましょう。
サイトのSSL化には手間がかかる
サイトのSSL化には、次のような手間がかかります。
- CSRを作成する
- SSLサーバー証明書を申し込み、インストールする
- サイトのURLを「http://」から「https://」に変更する
- サイト内に利用しているすべてのリンク・画像・ファイルを「https://」に変更する
- リダイレクト設定を行う
- Googleアナリティクスの設定を変更する
サイトのURLを「https://」に変えるのはもちろん、使用している画像のURLを変更する、リダイレクト設定をする、などの対応が求められます。
サイトにアクセスしたユーザーデータを取得するために、Googleアナリティクスを利用している方も多いのでは。Googleアナリティクスは、指定されたURLのアクセスを解析しているので、設定の変更を忘れないようにしましょう。
「サイトのSSL化に時間をかけられない」または「Webに詳しくないので対応できるか不安」という場合は、外注するのも選択肢のひとつです。
SNSのシェアやいいね数がリセットされる
HTTPS接続によりサイトのURLが変更されると、SNSのシェアやいいね数がリセットされてしまいます。これは、SNSはURLをベースとして情報を参照しているため、URLが変更されると別サイトとして認識されるからです。
なお、サイトのコードを書き換えたり、WordPressの場合はプラグインを使用したりすることで、SNSのシェア数を引き継ぐ方法もあります。
まとめ:「保護されていない通信」と表示されるのはHTTP接続が関係している
HTTP接続のホームページは、サイト上部に「保護されていない通信」と表示されます。警告メッセージを解除するには、サイトをSSL化してHTTPS接続に変更しなければいけません。
サイトがHTTPS接続になると、URLが「http://」から「https://」に変わります。サイトのセキュリティが向上するのと、ユーザーからの信頼を得られる点が、HTTPS接続に対応するメリットです。サイトのSSL化には、手間とコストがかかります。なお、手間を削減しつつ、確実にサイトのSSL化を進めたいならば外注がおすすめです。
「保護されていない通信」を解除して、ユーザーから信頼されるサイト運用をしましょう!
