ここから本文です

iPhonedのsafariでネットを見ているときに、アドレスがhttpsなのに上が緑色になら...

asa********さん

2017/9/1718:57:29

iPhonedのsafariでネットを見ているときに、アドレスがhttpsなのに上が緑色にならないときがありました。
(yahooトラベルで宿を取っているときに、ずっとhttpsではあったのですが情報入力の時

はアドレスバーの部分が緑色にならず、確認画面になってやっと緑になりました。)

正規サイトである保証があるように、ブックマークから入って予約しているのでおそらく大丈夫だと思うのですが、どういうことか知りたいです。

閲覧数:
2,947
回答数:
2
お礼:
100枚

違反報告

ベストアンサーに選ばれた回答

プロフィール画像

カテゴリマスター

air********さん

2017/9/1801:32:49

結論を先に言えば、緑であろうが無かろうが、httpsとなっていて、鍵マークが表示されているならば、特に問題は無いでしょう。

それと、ブックマークから操作をしているのは(公式サイトのトップページから操作は)、正解です。
うっかり、メアドのリンクとかから操作だと、詐欺メールだと身も蓋も無いですから。


で、緑は、どういうことかと言えば....

アドレスバー、URLのある辺りが緑色になる、それと、組織名が表示(例えば企業名とか)されるのは、暗号通信で利用するデジタル証明書(サーバー証明書、ドメイン証明書)の種類が、EV証明書を用いているときです。
同時に、httpsですから、暗合された通信ですから、鍵マークも出ているはずです。

ちなみに、EV証明書は、証明書を運用する組織の実在性とか(帝国データバンクの情報やらで)厳密に審査される、法人のみに発行されるデジタル証明書です。

一方で、DV証明書や、OV証明書が使われて暗号通信されている場合は、httpsですけど、鍵マークのみですね。
緑にならないし、組織名なども出ません。
一般にDV証明書に関しては、ドメインが存在していれば発行なので、審査が緩いと言えます(問題がありますが、後述します)。
OV証明書は、発行先の組織の存在を確認して発行しますから、DV証明書よりは、多少厳しいとも言えますし、組織・法人向けとも言えます。

でも、DVもOVも、暗号で使われている場合に見た目は同じに見えて、httpsで、鍵マーク表示のみです。
EVの様な緑色で強調とか区別はありません。
証明書の中身まで見れば、証明される組織名の有無で、DVか、OVか推測はできますけそ、そこまで見るかと言えば....)。


Yahoo!の知恵袋とかを見ていると、最近の常時SSL(AOSSL)の流れにそって、SSLの導入が進む、一方で、さらに踏み込んで、より信頼性の高い、EV証明書を用いている方にシフトをしてきていますね。また、AOSSLに対応している一方で、より安全性を求めるところには、EV証明書を用いるという使い分けかもしれません(中の人じゃ無いから、DV,OV証明書と、EV証明書の使い分けの真意はわかりません)

まあ、Yahoo!に限らずで、AOSSLへの対応は進んでいますし、より信頼性を求める場合は、EV証明書が使われている場面も増えてきました(金融関連とか、ほぼEV証明書ですね、ネットショッピングとか金銭関連も、EV証明書が使われていることが増えています)

最初に述べた通り、httpsで暗号化されている、鍵マークがきちんと表示をされていれば、通信内容は保護されていますから、取りあえずは、安全と考えて下さい。


ここから、余談です。

先に触れたとおり、実は、問題もあります。

フィッシングサイトとか、詐欺サイトでも、DV証明書を取得して、httpsとして暗号通信をする、鍵マークが表示されるという事例があります....困ったモノです....来る者拒まずで、デジタル証明書を発行するCA(認証局)というにはあります。

本来は、AOSSLの流れに沿って、個人でも無償で気軽にhttps(SSL/TLS)による暗号された通信を使える様にするというのが、本来の趣旨ですが、現実には、無償で使えるから、コストいらずということで、詐欺サイトも、デジタル証明書を取得して利用という事態になってます....

とは言え、個人利用ならばともかく、大手企業、法人なりの組織が、そんなCAのデジタル証明書を使う分けがありませんから、httpsで鍵マークがあるから安心ではなくて、使われている証明書を表示、証明書を発行しているCAを見てみれば、オカシイと判断はできます。

例えば、CAが「Let's Encrypt」であれば、個人利用ならともかく、大手企業などは利用する訳ありませんから、大手起業を名乗るのに、CAが「Let's Encrypt」なんてことだと、あからさまに怪しいし、それは、詐欺サイトと....URLもドメイン名もよく見れば変と....

でも、スマホのブラウザだと、証明書の確認って出来ないことがあるから、スマホの利用をする際は、注意ですね(Safariは、証明書が表示できませんね....)

また、証明書(の利用環境)に不備がある(CAのローカル側、ブラウザ側にルート証明書、中間証明書が無いとか)だと、ブラウザで挙動が異なることもあるから、注意です。

証明書の不備があるから、httpsで暗合された通信は出来ないので、エラーとするブラウザもあります。
一方で、httpで代替表示ができると、エラーを出さずに、URLの見た目は、httpsだけど、現実はhttpとするなんて事がありますし、iOSのSafariは、代替できるとエラーを出しません(画面をよく見ると、鍵マークでは無いので、暗号されていないことが判りますけど、URLは、httpsだったり....)。

こういう場合も、鍵マークが表示をされているかが、見るべきポイントですね。

例えば、長野県の公式ホームページ、
https://www.pref.nagano.lg.jp/

httpでは、どのブラウザでも見れますが、httpsとすると、PCでFirefoxだとエラーになりますけど、PCのChromeだと、エラーにならずに見えるし、httpsなのに、鍵マークになりません。
iOSでSafariでも、エラーにならずに見えるし、httpsなのに、鍵マークになりません。
ブラウザで、挙動が異なるのは、面倒ですね....

ちなみに、この妙な挙動は、ローカル側、ブラウザ側にCAのルート証明書、中間証明書が無いから起きる現象で、CAのルート証明書、中間証明書をきちんと用意すれば、エラーも消えるし、httpsであれば、鍵マークになります。

CAは、地方公共団体組織認証基盤(LGPKI)で、この組織が発行しているデジタル証明書を長野県が用いているけど、ローカル側、ブラウザ側にCAのルート証明書、中間証明書が無いからエラーとかになるというオチです。

多くの場合は、CAのルート証明書・中間証明書は、OSやブラウザにバンドルされます、でも、もっぱらバンドルされるのは商用のCAですね、公的・公共事業関連のCAのルート証明書、中間証明書というのはバンドルされません、例えば、確定申告で、e-Taxを利用するときも、e-TaxのCAのルート証明書・中間証明書もバンドルされていないから、ユーザーが自分でインストールが必要だったりします....

偶々、長野県のサイトのネタは、知恵袋での質問で見つけましたけど、事例としては、面白い、「こういうこともあるんだなと」ということです。


そんな訳、何かとややこしいですが、まずは、URLに間違いがないか注意とか、メールのリンクは安易に踏まないとか注意が必要だし、ブックマークから操作操作とかが大切と言えます。
そして、大事な情報をやりとりでは、鍵マークがあることを確認と、もし、不審な点を感じたら、証明書を表示して中身を見て、CAを見てみるなんてことで、対応です。

  • 質問者

    asa********さん

    2017/9/1814:18:52

    とても丁寧な回答ありがとうございます。
    当初の疑問については完全に解決することができました。
    鍵がついていないが、httpsになっている場合についてもう少しお聞きしたいのですが、
    情報を送信する際にhttpsのアドレスであることは確かに確認したのですが、鍵マークはついていませんでした。
    しかし、「送信しようとしているフォームはセキュリティによって保護されていません。それでも送信しますか?」という注意書きは表示されていませんでした。
    この場合は、送信しても安全であると認識すべきでしょうか?
    回答者様の回答を拝見する限り、この時点でスマホでの操作をやめPCで証明書を確認するべきだと思うのですが、事後ですので・・・どうなのか気になります。

  • その他の返信(5件)を表示

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

質問した人からのコメント

2017/9/18 15:48:58

回答してくださったお二方ともありがとうございました。
今回のことで暗号化について詳しく知ることができよかったです。
確かに、air_borne様のご指摘の通り少し心配しすぎでしたね・・・笑
これからもセキュリティー面には気を付けたいと思います。

ベストアンサー以外の回答

1〜1件/1件中

プロフィール画像

カテゴリマスター

ma_********さん

2017/9/1806:30:09

SSL通信にはサーバー認証とクライアント認証によるセッション鍵暗号方式を使っています。

通常、サーバーとクライアントがセッション鍵の共有したあと、ブラウザのアドレスが緑色になったところで通信が始まりますが、WEBサイトでユーザー認証が必要な場合は、IDとパスワードの流出を防ぐため、一時的にセッション鍵を切断し、IDとパスワードをWebサイトで指定した暗号方式で鍵をかけ、公開鍵認証方式で通信を行います。

よって、クライアント認証が一時的に切断されるため、緑色の背景がなくなるのです。(サーバー認証は行われています)

利用者にとって見たら全く問題のない事象です。ご安心くださいませ。

あわせて知りたい

この質問につけられたタグ

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる