シニアも楽しむ ITライフ

シニアこそ “ネット” を活用し生活を楽しみましょう!

ITの進歩は速く、シニア・シルバー世代は苦手と言われます。しかし、シニアになった今、 「シニア・シルバー世代こそ、田舎生活ほど、ITって役立つのではないか」 最近、つくづく思います。このブログは、シニアになってもインターネットを楽しんでいる”ガンコ親父”の日記ブログです。

URLが【https】でも危険な場合が・・・サイトの運営者の確認が重要!

ホームページのURLが「https」の場合には、「SSL/TLS」という暗号化の仕組みが活用されており、安全だとよく言われますが、実はフィッシング詐欺の4分の1が「https」とも言われ、決して安全ではありません。

実は、簡単に「https」にすることが可能で、これを悪用してフィッシング詐欺などに利用されます。

そのため、サイトの運営者の情報、「運営組織名」、「運営組織の所在地」を確認しないと安心できません。

なお、「SSL/TLS」はインターネット上で通信を暗号化する技術で、暗号化に加え、データの改ざんを防ぎ、通信相手の認証も可能になっています。

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

パスワードやクレジットカードのような重要な情報をやり取りする場合、次の①、②の確認が大事です。

 

①まずは、ホームページのURLが「https」で、“鍵マーク”がしっかり表示されていることを確認下さい。

(注)暗号化が不十分な場合は“鍵マーク”が無いか、“鍵マーク”に×が表示されます。

f:id:yougo-school:20180701175748j:plain

 

②次に、「https」が備えている「SSL証明書」で、サイト運営者の「運営組織名」、「運営組織の所在地」を確認することが大事です。

f:id:yougo-school:20180701175810j:plain

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

 

《補足》フィッシング詐欺の4分の1がHTTPSサイト

なお、最近は、フィッシング詐欺のサイトでも「https」が使われることが多くなっています。

以下の記事によると、今ではフィッシング詐欺の4分の1がHTTPSサイトで行われているそうです。

 2018年1月22日 HTTPSが安全とは限らない – カスペルスキー公式ブログ
 https://blog.kaspersky.co.jp/https-does-not-mean-safe/19268/

そのため、サイトを安心して利用するためには、以下の①、または②であることを確認することが大事です。
 
 ①SSL証明書にサイトの「運営組織名」、「運営組織の所在地」が表示されている

 ②アドレスバーに企業名が表示されている(EV SSL証明書)


■■□―――――――――――――――――――□■■

https】のSSL証明書には3つのタイプがあります

 中には信頼性の低いSSL証明書ドメイン認証証明書)も

■■□―――――――――――――――――――□■■

SSL証明書には3つのタイプがありますが、信頼がおけるのは、「運営組織名」がある、②または③の証明書です。②、③には、「運営組織名」に加え、「運営組織の所在地」まであります。

 

× ①ドメイン認証証明書・・・「運営組織名」無  信頼性が低い
〇 ②企業認証証明書・・・・・「運営組織名」有  信頼性が高い
〇 ③Extended Validation証明書・・・「運営組織名」有  最も信頼性が高い

 

①のドメイン認証証明書は書類を提出する必要がないため、数分程度で、簡単に証明書が入手でき、SSL証明書をみると、「運営組織名」を示す情報がありません。

②企業認証証明書には「運営組織名」、「運営組織の所在地」があり、法的に実在している企業・団体が運営しているサイトであることが証明され安心です。

③Extended Validation証明書には「運営組織名」、「運営組織の所在地」に加え、法人設立直轄地という特別な情報もあり、一番安心できます。

 

f:id:yougo-school:20180703145247j:plain


■■□―――――――――――――――――――――――――□■■

(パソコン版)SSL証明書の見方

 「運営組織名」、「運営組織の所在地」を確認しましょう!

■■□―――――――――――――――――――――――――□■■

ブラウザーのアドレスバーの「鍵マーク」をクリック
②証明書をクリック
③[詳細タブ]のサブジェクトをクリック
④運営者の情報の中に、「O:運営組織名」、「L,S,C:運営組織の所在地」があるか確認

 

f:id:yougo-school:20180703142935j:plain

 

■■□―――――――――――――――――――――――――□■■

スマホ版)SSL証明書の見方

 「運営組織名」を確認しましょう!

  ~スマホ(Andoroid) ブラウザーChromeの場合

■■□―――――――――――――――――――――――――□■■

(注)SSL証明書、パソコンでは全ての情報がみられますが、スマホでは「運営組織の所在地」が確認できませんでした。


ブラウザーのURLの左の[鍵マーク]をタップ
 *もし、[鍵マーク]が無い場合は、そのサイトは利用しないほうが無難です
②次画面の[詳細]をタップ
③[証明書情報]をタップ
④[組織(O)]があればOK!

 

Yahoo! JAPANの例]

 

f:id:yougo-school:20180703144552j:plain

 

f:id:yougo-school:20180703144605j:plain

 

 

■■□―――――――――――――――――――――――――□■■

Webサービスを活用したSSL証明書の確認
 「運営組織名」、「運営組織の所在地」を確認しましょう!

■■□―――――――――――――――――――――――――□■■

セキュリティソフトの大手、シマンテック(Symantec)が提供する「SSL Checkerサービス」を利用すると、簡単にSSL証明書を確認できます。

SSL Checker | シマンテック(Symantec)提供
https://cryptoreport.websecurity.symantec.com/checker/

①チェックするサイトのURLを入力
②[CHECK]クリック
③「運営組織名」、「運営組織の所在地」を確認

f:id:yougo-school:20180701180209j:plain

f:id:yougo-school:20180701180228j:plain

 

■■□―――――――――――――――――――□■■

《補足》サイトの運営者を証明する「SSL証明書」とは

■■□―――――――――――――――――――□■■

 

SSL証明書には、信頼性、入手者とその方法、価格に応じて、次の3種類があります。 

 下記に「SSL証明書」について、分かりやすい説明があったので、これを参考に紹介します。

 SSL/TLS証明書、その特性について – カスペルスキー公式ブログ
 https://blog.kaspersky.co.jp/certificates-are-different/20273/


ドメイン認証証明書(DV証明書)・・・信頼性が低い

証明書を入手するには、対象となるドメインを所有していること、またはそのドメイン上でサイトを管理していることを証明する必要があります。ただし、証明書を所有する組織に関する情報は含まれません。また、書類を提出する必要がないため、DV証明書の取得にかかるのは数分程度です。
証明書に記載されているサイトの運営者の情報も少ないです。①CN(コモンネーム)しかないサイトもあります。これでは、誰が作ったサイトか分からないので信頼がおけません。

 [証明書のサブジェクトの内容]
  ①CN(コモンネーム)
  ②OU(部署名)
  ③C(国/地域名)


②企業認証証明書(OV証明書)

ドメイン認証証明書よりも1つ高いレベルに位置付けられます。これは、ドメインへの接続が保護されていることを証明するだけでなく、そのドメインが証明書に明示された組織に実際に所属していることを示します。申請書類の確認と証明書の発行には、数日かかります。
証明書にはサイトの運営者の情報(運営組織名、所在地)がしっかり記載されています。

 [証明書のサブジェクトの内容]
  ①CN(コモンネーム)
  ②OU(部署名)
  ③O(運営組織名)
  ④L(運営組織の所在地-市区町村)
  ⑤S(運営組織の所在地-都道府県)
  ⑥C(運営組織の所在地-国)


③Extended Validation証明書(EV証明書)・・・最も信頼性が高い

信頼が最も高い証明書です。OV証明書と同様に、必要な申請書類をすべて提出した法人だけが、この証明書を取得できます。EV証明書を取得した組織のWebサイトの場合、ブラウザーのアドレスバーには緑色の錠アイコンが表示され、組織の名称と所在地が緑色で表示されます。
証明書にはサイトの運営者の情報として運営組織名、所在地に加え、法人設立直轄地が記載されています。

 [証明書のサブジェクトの内容]
  ①CN(コモンネーム)
  ②OU(部署名)
  ③O(運営組織名)
  ④STREET(運営組織の所在地-町名・番地)
  ⑤L(運営組織の所在地-市区町村)
  ⑥S(運営組織の所在地-都道府県)
  ⑦C(運営組織の所在地-国)
  ⑧法人設立直轄地-国
  ⑨法人設立直轄地-登録番号