2017年3月8日水曜日

ブラウザChromeでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。

そこで、今回は、ブラウザChromeでサイトが安全かどうかを確認する方法を紹介します。

サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。


なお、サイトの安全性の確認のためには、ブラウザChromeはぜひ最新版に更新してください。

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。


 ブラウザIEでの確認方法は以下を参照ください。

  ブラウザIEでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/ie.html



 ブラウザFirefoxでの確認方法は以下を参照ください。

  ブラウザFirefoxでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/firefox.html



また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html




■ アドレスバーですぐに分かるサイトの安全性


”安全なサイト”と”不安なサイト”をアドレスバーで確認


[安全なサイト]

アドレスバーのURLの左に鍵マークと“保護された通信”の表示




[不安なサイト]

アドレスバーのURLの左に鍵マークが無い!






■ サイトの安全性を詳しく知るためには「Security」パネルを活用


HTTPS(URLが”https://~”)の状態を検証するために、Chromeには「Security(セキュリティ)」パネルが追加されています。

Securityパネルで次の3項目の安全性を知ることができます。

①証明書: 有効なTLS/SSL証明書が使用されているかどうか
②TLS接続: 安全なTLS/SSL接続が確立されているかどうか
③リソース: 画像やJavaScriptなどのリソースもTLS/SSLで配信されているかどうか


(1) Chrome サイト証明書確認は“Security(セキュリティ)パネル”から

① [Google Chromeの設定](右上の3本バー) − [その他のツール] − [デベロッパー ツール]

②「Security」タブを選択 *表示されない場合は、“≫”をクリック





(2)サイト全体の確認

[安全な場合]

“This pase is secure (valid HTTPS).”

(このページは安全です(有効なHTTPS))と表示。




[安全ではない場合]

“This page is not secure.”(このページは安全ではありません)と表示。


(3) 通信プロトコル「TLS1.2」確認

①使われているSSL/TLSの暗号化通信プロトコルのバージョンを確認


[Secure Connection]の欄を確認  バージョンが“TLS 1.2”であればOK!



[Secure Connection]の欄を確認  バージョンが“TLS 1.2”以外であれば問題あり



(4) 署名アルゴリズム「SHA-2」確認

①「View certificate」ボタンをクリックし、詳細タブの「署名アルゴリズム」を確認

②署名アルゴリズムにSHA256(SHA-2)を使っていればOK!





■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある


SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLやTLSで暗号化して送信しています。

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています



■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性


Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。

この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。