SSL化対応したはずなのに！〈保護されていない通信〉と表示されてしまう3つの原因

大手を中心に、今やすっかり常時SSL化されているWEBサイトが主流となりました。

セキュリティ面での意識やSEO的な観点は当然ながら、多くのWEBサイトが常時SSL化対応に踏み切ったのは、Google Chromeが導入に踏み切った、〈保護されていない通信〉表示の影響が大きかったのではないでしょうか。

〈保護されていない通信〉は、SSL化対応されていないページのアドレスバー左に表示されます。しかし、SSL化対応したはずのページであっても、〈保護されていない通信〉が表示されてしまうことがあることをご存じでしょうか。
今回は、SSL化対応したページで〈保護されていない通信〉が表示されてしまう代表的な原因を3つご紹介します。

原因１ SSL化されていないファイルを読み込んでいる

おそらくもっとも多い原因は、ページ内にSSL化されていないファイルを読み込んでいることです。
WEBページは、ページそのもののファイル(htmlファイル)の中に、画像ファイルやjavascriptファイルなど様々な別のファイルを読み込んで構成されています。この読み込んでいるファイルがSSL化されていないものだとページ全体がSSL化されていないとみなされ〈保護されていない通信〉が表示されてしまいます。
SSL化したはずのWEBページで〈保護されていない通信〉が表示されてしまった場合はまずこの原因を疑い、htmlファイルを確認してみましょう。

原因２ TLSプロトコルのバージョンが古すぎる

TLSとは簡単に言うと、通信暗号化の規格のことです。
現在の最新バージョンはTLS 1.3、ほとんどのブラウザがサポートしているスタンダードな規格はTLS 1.2になります。このTLSのバージョンが古く1.0や1.1の場合も〈保護されていない通信〉が表示される原因となります。

TLSのバージョンは次の手順で確認できます。

1. 調べたいWEBページにGoogle Chromeでアクセス
2. キーボードの[Ctrl] [Shift] [i]を同時押ししてデベロッパーツールを起動
3. 右上のSecurityタブを押し、表示された画面でTLSのバージョンを確認

確認した結果、TLS 1.0やTLS 1.1と表示されていた場合は対応が必要です。TLSの設定はサーバー側で行うので、古いバージョンのTLSを発見した場合はサーバー管理者やレンタルサーバー会社に問い合わせてみましょう。
※サーバーそのものが古すぎる場合、TLS 1.2以降へバージョンアップすることができないことがあります。その場合はサーバー自体を交換する必要があります。

原因３ インストールしているサーバー証明書の期限が切れている

サーバー証明書とは、そのサーバーが安全であることを証明するファイルです。
SSL化対応をするには、サーバーにサーバー証明書をインストールする必要があります。このサーバー証明書には期限があり、期限が切れてしまうと〈保護されていない通信〉が表示されてしまいます。

サーバー証明書の期限は次の方法で確認できます。

1. 調べたいWEBページにGoogle Chromeでアクセス
2. アドレスバー左側のアイコンをクリックし、さらに出てきたポップアップの中の証明書をクリック
3. 表示された画面でサーバー証明書の期限を確認

サーバー証明書の更新作業もサーバー側で行うことになります。サーバー証明書の期限が切れないよう定期的に確認し、期限が近付いてきたらサーバー管理者やレンタルサーバー会社に問い合わせましょう。

おわりに

〈保護されていない通信〉はWEBページにセキュリティ上のリスクが存在するときに表示されます。「以前SSL化したから大丈夫！」と油断することなく、日ごろからWEBページをチェックして適切にトラブルに対処していきましょう。

WEBディレクター ／ H.M