Suzunoの日記: httpとhttpsの差 1
日記 by
Suzuno
義母が「ブラウザから警告が出る」と言うので見てきた話。
カルチャー講座に参加して、あとで副教材などを自宅でも閲覧できる会員サイトのIDとパスワードを受け取ってきたのだけど、サイトにアクセスしようとしたら警告が出てパニックになったと。
最初は「サイトの管理者がSSL関連の設定を間違えたのかな?」と思ったけど、そうではなく。
カルチャー講座のサイトは、トップページがhttp://~ で、そこからリンク先にあるログインページだけがhttps://~ のSSL対応サイトになっていた。パンフレットに載ってるのはhttp://~ のトップページURL。
で、義母はPCのブラウザ起動時は、Googleを開くようになっているので、https://www.google.co.jp/がURL欄の初期値になってる。
そこの「www.~」だけを消して、URLの後半を入力したからエラーになった、と。
(証明書はssl.~~.com が対象だったので、https://www.~~.com でアクセスするとエラーになるけど、https://ssl.~~.com にアクセスすれば通る。これは正しい運用)
一般向けで「http://とhttps://の違いは大きいですよ」みたいな話が、どういう風に普及してるかわからないけど、サイト全体をSSLにしてるところと、ID・パスワードが絡む部分だけをSSLにしているサイトが混在すると、こういうミスをしちゃう人も出てくるんだなー、なんて。
ワイルドカード証明書と常時SSL化で解決 (スコア:0)
個人だとLet's Encryptが2018年1月からワイルドカード証明書にも対応するから対処しやすいかも
https://security.srad.jp/story/17/07/12/0720246/ [security.srad.jp]
法人だと見栄的にLet's Encrypt使いずらいだろうから
ワイルドカード証明書は馬鹿高くて及び腰かもしれませんね
決済が絡むと特に
うまく使い分けられればいいのですが
サイト担当が優秀でも権限持つ上司が優秀とは限らんので
難しいところですね
# てか今どきはアドレス手入力させるより「○○で検索」が妥当な周知方法だよね