- LINEからウェブページにアクセスしたときに「このサイトは安全ではないため閉じてください」と表示されるとビックリします。
- でも、すぐに怪しいサイトでウイルスにかかったりしたわけではありません。
- このエラーでは、ページの一部にセキュリティ証明書の更新の見落としがあるだけの場合も多いです。
- ページ内容が表示されないので不便ですが、それ以上の心配はありません。
YouTube動画でも話しています。
「This Connection Is Not Private」とは?
LINEでウェブページにアクセスしたら、
「This Connection Is Not Private」という表示が出てきて、つながらないことがありました。
よく見ると、
LINEメッセージにあるページURL と、
エラー画面上に表示されているURL が違っています。
以前にニュースサイトを見ていたときもありました。
サイトそのものはセキュリティ保護されている
いったんメッセージからURLをコピーして、別のブラウザ(chrome)で表示してみました。
すると、今度は通常通りサイトが表示されました。
サイトそのものに問題があるわけではないようです。
埋め込まれたリンクにセキュリティ保護がない
今度は、エラー時に表示されたURLをコピーして、Chromeで直接アクセスしてみました。
こちらは「プライバシーが保護されません」というエラーになりました。
エラーメッセージには、「NET::ERR_CERT_DATE_INVALID」とあります。
これは、「セキュリティ証明書の日付が無効」であることを意味しています。
しかし、今回はユーザー入力があるわけではないので、すぐにセキュリティの問題があるわけではありません。
セキュリティ証明書の有効期限が切れている
セキュリティ証明書の情報を表示してみると、確かに有効期限が2021年5月30日で切れたままになっていました。
どうも、サブドメイン(logapi.appland.co.jp)のセキュリティ証明書の更新ができていないようです。
セキュリティ証明書がないと、通信内容は暗号化されません。
ただし、同じドメインのメインの方(www.appland.co.jp)はセキュリティ証明書で保護されていました。
まったく更新されていないわけではないようです。
◆ Let’s Encryptのセキュリティ証明書についてはこちらも。
「混在コンテンツ」を警告している
LINEのアプリ内ブラウザでは、ページ内のリンクにセキュリティ保護のない外部リンクが含まれていると、すぐに警告を表示されるようです。
セキュリティ保護しているページなのに、内部でセキュリティ保護されていないページ・データを読み込んでいる場合、「混在コンテンツ(mixed-contents)」と言って区別します。
LINEの警告自体は不思議ではありません。
ユーザが HTTPS を通じてページにアクセスすると、ユーザとウェブサーバとの接続は TLS で暗号化され、盗聴や中間者攻撃から保護されます。HTTPS のページの中に通常の平文の HTTP で送られてくるコンテンツが含まれている場合、混在コンテンツと呼ばれます。このようなページは部分的にしか暗号化されておらず、盗聴者や中間者攻撃者が暗号化されていないコンテンツにアクセスできてしまいます。つまり、ページは安全ではありません。
混在コンテンツ – ウェブセキュリティ | MDN
画像ファイルに問題はアクセス集計のため
URLの画像ファイル(.gif)は、なにか問題はないの?
アクセスしている画像ファイル(.gif)を見てみると、1ピクセル四方の画像でした。
なんのための画像なの?
このような小さい画像は、外部サイトでアクセスを集計するときによく利用されます。ウェブサイトのページが表示された時に、ページに埋め込まれた画像ファイルを表示するときに、アクセスを記録することができます。
ですので、これらを合わせると、アクセス集計用のデータを保存している外部サイトのセキュリティ証明書の更新が切れたままになっているようです。
サービス運営側の見落としの可能性もありますが、どちらかというとサービス終了したアクセス集計の古いリンクがサイト内に残ったままになっていることが原因なのではないか、と考えられます。
自分もそうですが、ウェブサイトのメンテナンスは大変ですね。
こちらもどうぞ。
