悠々人生・邯鄲の夢エッセイ



最上段の赤字で囲っている部分が「安全ではありません」の警告






 昨日から、私のホームページの下部に、次のような表示をすることにした。

(技術的な注釈) ブラウザとしてSafariをお使いの方が最近のバージョンアップ(iOS12.2)の後にこの「悠々人生」を閲覧しようとすると、URLアドレスバーの横に「安全ではありません」という警告が表示されるようになりました。そういう場合は、この悠々人生を閲覧するアドレスを「http://uu-life.com/」から「https://uu-life.com/」へと「http」の直後に「s」を付け加えるようにしていただければ、この警告の表示は消えます。これは、「https」で始まる悠々人生のサイトが暗号化されていて、安全であることを示しています。以後、このアドレスから閲覧していただくよう、お願いいたします。


 私は、iPhoneやiPadで自分のHP(ホームページ)「悠々人生」を確認することが多い。ところが、本日(2019年3月30日)、そのiOSを12.2へとバージョンアップしたところ、URLアドレスバーの横に「安全ではありません」という警告文が表示されるようになってしまった。これでは、わざわざ「悠々人生」を閲覧しに来ていただいた方々が、気になって仕方がないだろうと思う。管理者の私自身がそうなのだから、これは何とかしなければならない。

 ネットで調べてみると、この「安全ではありません」の警告は、2018年3月から使われてきたiOS11.3でも表示されていたが、それはパスワードやクレジットカード番号を入力するページに限られていたようだ。ところが、2019年3月のiOS12.2からは、それに限らず「http」から始まる全てのページで表示されるようになった。なぜかというと、「http」から始まるURLの場合は、通信が暗号化されていないので、ネットワーク上の第三者が容易にその内容を盗聴することができるからだという。

 そこで、私のようなHP(ホームページ)サイトの管理者としては、自らSSLサーバー証明書を取得して所要の設定をすることによってそのサイトを暗号化すれば、この「安全ではありません」の警告表示は消えるそうだ。それが、「https」で始まるアドレスなのである。そういうことで、私は早速その証明書の取得と必要な設定をした。すると、確かにこの警告表示は消えたが、この「https」で始まるアドレスに変えていただくように、読者に呼びかけなければならないことになった。これは私だけでなく読者にも面倒なことだが、仕方がない。

https://uu-life.com/で始まるアドレスに変えていただくように、読者に呼びかけ


 ところが、まだ1つ未解決の問題が残っている。私は、本体の「悠々人生」に掲載したのと同じ内容をブログ(http://blog.uu-life.com/)に載せているが、そのブログのアドレスでのSSLサーバー証明書の取得の仕方がわからない。これは、当該ブログ会社のシステムと深くかかわっているのではないかと思うので、現在、問い合わせているところである。ブラウザとしてSafariのシェアは、とりわけモバイル分野では7割を超えていることから、本件は、ブログの閲覧数とも大いに関係する。だから、大変な問題に発展するかもしれない。






【後日談1】問合わせと回答 (2019年4月1日)

(私の問合わせ) アイパッドとアイフォーンでSafariをブラウザとして使っているのですが、このたびiOS12.2にバージョンアップしたところ、URLアドレス欄に、「安全ではありません」表示が出てくるようになって、これは閲覧に大きな影響を与えそうですが、その消し方がわかりません。他方、私はロリポップの方で独自ドメインを持っていて、無料SSLも発行してもらっているので、仕組みはわかっていて、そちらの方は、次のアドレスにしてもらうように呼びかけています。こちらのブログは、どうすればよろしいのでしょうか。これは、全員に共通する大きな問題です。https://uu-life.com/

(会社からの回答)  このたびはお問い合わせいただきまして、ありがとうございます。JUGEMカスタマーサービスでございます。

 お問い合わせいただきました件についてですが、httpsにつきましては、「常時SSL通信」と申しまして「そのページ内のフォームにて書き込まれた情報が外部に漏れること無く、暗号化された状態で、目的とするサーバーに情報が送信がされる」ということを意味します。具体的には、例えば当該ブログが、いちショッピングサイトだったとして、その中で商品の販売をおこなう際に、エンドユーザーさま(サイトをご覧になっているお客さま)は、決済のため、例えば「クレジットカード番号」等を入力しなくてはなりません。

 ここで従来の「http」による、いわゆる「保護されていないサイト」についそうした重要な個人情報を入力しますと、外部からの悪意ある何者かによってその通信を傍受され、通信の中身の情報を盗み見られる、あるいは情報そのものを盗まれてしまう可能性がございます。しかしながら、当該ブログにつきましては、ブログサイトでありますため、閲覧者の方に、なんらかの情報をご入力いただく要素については、「コメント欄」のみとなっております。そして「コメント欄」につきましては「名前・サイトURL・メールアドレスおよびコメント内容」という情報のみであり、かつそれらの項目の入力については、コメンテーター側の任意による意思決定の下で入力されるものになります。また、常時SSLへの対応可否等については、ユーザーさまではなく「サーバー管理者側(当該ブログの場合ですとJUGEM側)」にて対応されるものとなります。

 このためJUGEMブログでは、現時点に於きましては、先述いたしましたように、ブログという特性上、緊急の対応が必要であるとの判断には至っておりませんが、今後の対応予定につきましては検討中でございます。また、Googleからのセキュリティ警告につきましては、恐らくは、上記にて先述しました「コメント欄」を「個人情報を入力させるフォーム的なもの」として検出した結果、出されているものと思われます。

 したがいまして、該当の警告につきましては、そのままご放念いただいて問題はございません。また、お客さまにて何か対応をいただく必要もございませんので、ご安心いただければと存じます。 ※常時SSLの詳細につきましては、下記検索結果URLを参照いただければ幸いに存じます。https://goo.gl/cGF2Ag

 その他、ご不明な点などございましたらお問い合わせ下さい。どうぞよろしくお願いいたします。


(私が思ったこと) 問い合わせの翌日直ぐに返信が来るというスピーディな対応には感謝するが、よく読むとこれは、Googleからのセキュリティ警告に対する回答をそのまま転用したものである。Safariについて聞いた私の質問の核心からはずれているし、「常時SSLへの対応可否等については、ユーザーさまではなく「サーバー管理者側(当該ブログの場合ですとJUGEM側)」にて対応されるものとなります。」という人ごとのような回答には、「あなたはJUGEMでしたよね。だからどうされようとしているのか聞いているんです。」と言いたくなるので、再質問を行った。もっとも、問題が問題だけに、直ぐには回答ができないだろうなと思う。

(私の再質問内容) 早速のご返信、ありがとうございます。私もコメント欄が探知されてこの警告が出ているものと思い、私個人は全く心配しておりません。ただこれは、Googleからのセキュリティ警告ではなくて、Safariからの警告なんです。Safariはモバイルのブラウザで7割のシェアがあるので、一般の人がブログを閲覧する際には非常に嫌味なのですね。ですから、閲覧数に大きく影響する可能性があるので、早急な対応をお願いします。

(会社からの再回答)  Safariでの警告におきましても、SSL化されていないことが起因と考えられますため、先述いたしましたようにJUGEMでは対応が出来かねる状況です。ご希望に添えず申し訳ございませんが、何卒ご了承ください。

(私が思ったこと) やはり、現在のシステムではブログをSSL化できないようで、ゼロ回答だった。せめて、コメント欄だけでもSSL化できないかとも思うが、それも結局は個々のブログをSSL化しなければならないので、手間は同じことだろう。ということは、ブログ管理者としては、このまま脆弱性を抱えながら運営していくのも気持ちが悪いので、コメント欄をやめてしまうのが現時点の唯一の対策だ。しかしながら、例えそうやったとしても「安全ではありません」の警告の表示は消えないという問題は残り、閲覧する人は気持ちが悪いだろうなと思うし、この会社が提供するブログ全体の閲覧が減りかねないと考える。しかし、今のところ、解決策はないようだ。せめて、自分のホームページ本体「悠々人生」だけは対策ができたので、それで良しとするか・・・世の中、セキュリティが厳しくなればなるほど、こういう問題が起きそうだ。




【後日談2】内閣府ウェブサイトでも「https:」に切替え<

 内閣府ウェブサイトでも、常時暗号化通信(TLS1.2)とした結果、URLを「https:」に変更したので、やはりURLを「http:」から「https:」に切り替えるように呼びかけている。詳細は、この通り。




【後日談3】カウンターが動かない

 上のように、「URLを「http:」から「https:」に切り替える」のはセキュリティの観点から必要なのだが、そうすると、重大な問題が生ずるのに気が付いた。つまり、そうしてしまうと、カウンターが動かないのである。

 私もやっているように、ホームページの最初のINDEXページの真ん中より下あたりに、「このホームページを閲覧いただいた方は、何人」というカウンターを付けるのが昔ながらのやり方なのだが、常時暗号化通信(TLS1.2)にすると、理論上それがカウントできなくなるのだ。まあ、仕方のないことだが、何かそれに変わる技術ができてこないかと思っている。

カウンターの例:







(平成31年3月31日著。4月1日追加、11月3日再追加)
(お願い 著作権法の観点から無断での転載や引用はご遠慮ください。)





悠々人生・邯鄲の夢





邯鄲の夢エッセイ

(c) Yama san 2019, All rights reserved