![鍵マークが保証するのは「通信」のみ](/blog/ssl-padlock-mechanism/what-padlock-says.svg) ## この記事でわかること - ブラウザの鍵マークが表示される仕組み(3 つの確認ステップ) - 鍵マークが保証していること、していないこと - 鍵マークが「ない」「警告が出る」場合の意味 - 鍵マーク付きの偽サイトが存在する理由 ## 鍵マークが付くまでに起きていること ブラウザのアドレスバーに表示される南京錠アイコンは、Web サイトとブラウザの間の通信が SSL / TLS で暗号化されていることを示しています。表示までに、ブラウザと Web サーバーの間で次の 3 ステップの確認が走っています。 ![鍵マーク表示までの 3 ステップ](/blog/ssl-padlock-mechanism/handshake-flow.svg) ### ステップ 1: 証明書をサーバーから受け取る ブラウザがサーバーに接続すると、サーバーは自分の SSL 証明書を提示します。証明書には「このドメインの証明書である」「発行した認証局はここ」「有効期限はいつまで」という情報が入っています。 ### ステップ 2: 認証局の署名を検証する ブラウザは事前に「信頼できる認証局」のリストを内蔵しています。サーバーから受け取った証明書を発行した認証局がこのリストに含まれていて、署名が改ざんされていなければ、証明書は本物と判断します。 ### ステップ 3: ドメインと有効期限を確認する 最後に、証明書に書かれているドメインが実際にアクセスしている URL と一致するか、有効期限内かをチェックします。 3 ステップすべてに合格して初めて、鍵マークが表示され、暗号化通信が開始されます。SSL の役割の全体像は[SSL とは|中小企業向け](/blog/ssl-basics-smb)を参照。 ## 鍵マークが保証していること 鍵マークが保証するのは、次の 2 点だけです。 - 通信の内容が暗号化されていて、途中で第三者に盗み見られていない - 接続先のサーバーが、そのドメインの証明書を持っている(ドメイン名は本物) これは小さくない保証ですが、決して「サイト全体が安全」を意味しません。 ## 鍵マークが保証していないこと ここが Web 担当者が押さえるべき重要なポイントです。 | よくある誤解 | 実際 | |---|---| | サイトの運営会社が信頼できる | DV 証明書では運営者の身元は確認していない | | 表示内容に偽りがない | 内容の真実性とは無関係 | | サーバー内部のデータが安全 | あくまで通信経路だけ。サーバー侵入は別問題 | | マルウェア感染していない | 改ざんやマルウェアの有無とは無関係 | | そのサイトが詐欺サイトでない | 詐欺サイトでも DV 証明書は発行できる | 特に「詐欺サイトでも鍵マークが付く」点は世間の理解が遅れている領域です。Let's Encrypt のような無料 DV 証明書は、ドメインの所有権さえ確認できれば誰でも取得できるため、フィッシングサイトの多くも鍵マーク付きで運用されています。 詳しい認証レベルの違いは[SSL 証明書の種類と違い](/blog/ssl-certificate-types-dv-ov-ev)を参照。 ## 鍵マークがない / 警告が出るとどうなる ### 「保護されていない通信」の警告 URL バーに「保護されていない通信」「Not secure」と表示される場合、HTTPS ではなく HTTP で接続しています。通信内容(パスワード・フォーム入力・閲覧履歴など)が経路上の第三者に盗まれる可能性があります。 原因は HTTP 配信 / 証明書期限切れ / ドメイン不一致 / mixed content の 4 パターンに大別できます。切り分け手順と復旧目安は [Chrome「保護されていない通信」警告の直し方](/blog/chrome-not-secure-warning-fix) を参照。HTTPS 自体が読み込めないケースは [https にならない原因と対処](/blog/https-not-loading-fix) も併読してください。 ### 「この接続ではプライバシーが保護されません」エラー ブラウザに赤い警告画面が出るケース。考えられる原因は次の通りです。 - SSL 証明書が期限切れ([SSL 期限切れ警告の直し方](/blog/ssl-expired-warning-fix)) - 証明書のドメインと URL が一致していない - 認証局が信頼リストに含まれていない(自己署名証明書など) - 中間証明書の設定漏れ([SSL中間証明書とは|役割と必要性](/blog/ssl-intermediate-certificate)) 警告画面を「無視して進む」操作は基本的にしない方が安全です。 ## 鍵マークを「絶対の安全保証」と捉えない 社内教育でも、利用者向けのお知らせでも、次のように位置付けるのが現実的です。 - 鍵マークがある = 通信は暗号化されている(最低限の前提) - 鍵マークがない = アクセスを中止する判断軸(安全性が担保されない) - 鍵マークがある + 信頼できる送信元か別途確認 = 重要操作の判断材料([信頼できる送信元か確認する方法](/blog/verify-sender-trust)) 「鍵マークがあるから大丈夫」と判断する文化は、フィッシング被害の温床です。鍵マークは「最低条件」であって「合格証明」ではありません。 ## まとめ - 鍵マークは「通信が暗号化されている」「接続先がそのドメインの証明書を持っている」だけを保証 - 運営者の身元・サイトの真実性・詐欺かどうかは保証していない - 鍵マークがない場合は「保護されていない通信」、警告画面は基本的に無視しない - 「鍵マーク = 安全」は誤解。社内教育で位置付けを明確に ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。