処方箋：SSLは用法を守って正しくお使い下さい

「このサイトのセキュリティ証明書には問題があります」
インターネットでページを開いたとき、このような警告が表示された経験、多
くの方がお持ちではないでしょうか。

こんなとき、皆さんはどうしていますか？
A.怖いので開くのをやめる。
B.よくあることで問題ない可能性が高いので、気にせず開く。

実は近年、Bの選択をしてしまうユーザーが多いそうです。
もちろんこれは間違った認識であり、フィッシング詐欺の温床となりかねませ
ん。

ご存じの方も多いと思いますが、こういった表示が出るページに使われている
技術はSSL（Secure Socket Layer）と言います。一般的にURLの頭には
「https://～」がつきます。何らかの送信フォームを設置しているページで使
用され、ページから送られる情報を暗号化し、第三者から読み取れなくします。

このとき、「この暗号の解読方法は第三者は絶対に知りませんよ」と証明するの
がセキュリティ証明書です。最初に挙げた警告は、これに「問題がある」と言っ
ているわけです。

確かに、「このセキュリティ証明書は有効期限が切れています」と表示された
としても、その期限内に暗号が解読されていなければ、情報が盗まれることは
ないと言えます。

また、自治体のサイトなどで、自ら証明書を発行している場合、ブラウザが持っ
ているいわば「信頼できる証明機関（ベリサインなど）」リストに登録されてい
ないため、照合の結果「このセキュリティ証明書は信頼できる機関から発行さ
れていません」と警告されてしまう可能性も確かにあります。

しかし、「そういったケースが多いから大丈夫」という安易な認識は問題です。

個人情報保護の叫ばれる昨今、自社ホームページの送信フォームにSSLを導入す
る会社も増えています。

そんな中、例えば、あなたの会社サイトを偽装したフィッシングサイトを誰か
が作ったとして、この偽サイトの証明書には問題があるとしましょう。
しかし、本物のサイトでも上記のような理由で、やはり警告が出るとすれば、
ネットに詳しくないユーザーにはそれを見分けられません。

そして偽サイトを見ているユーザーからの問い合わせに、「うちのサイトはい
ろいろ理由があって警告が出ますが、大丈夫ですよ」などと案内し、万が一問
題が起きたら、「ユーザーの自己責任」では済まなくなってしまいます。

何でも正しい使い方をしている限りはとてもいいことです。しかし、間違った
使い方をしている場合は、使っていない場合よりもむしろ悪であると言えます。
ネット上の無責任な一般論に流されず、正しい認識を持ってサイト運営に当た
りましょう。あなたのサイトの証明書は大丈夫ですか？