セキュリティ証明が取れないとのメッセージについて

こんばんは。 アラートの出現するタイミングと正確な内容が解りませんので、推測論になってしまうのですが、私なりに説明してみますネ。 「ネットショッピングの際に現われるメッセージについて」という事なので、おそらく「SSL通信における証明書」（後述します。）関連の話だと思います。 まず、大前提として、インターネットを流れる（ご質問のケースでは、あなたがショッピングサイトに対して送信する内容（データ））は、特別な配慮をしない限り、第三者が読み取ってしまえるものだという認識が必要です。（特殊なケースを除いて、実際に盗聴被害にあう確率自体は非常に低いでしょうが、理屈上は可能であるということです。） 秘匿性の高い情報を送信する際は、SSL通信の利用が可能である事（現実的には利用サイトがきちんとしたSSL通信路を提供しているか否か）が非常に重要なポイントとなります。 ウェブ上で利用されるSSL通信について非常に大雑把に説明すると、「信頼のおけるサービス提供者が証明書と使い捨ての暗号鍵を用意する事で、（初めての利用をふくめた）不特定多数との安全な情報のやり取りを可能にするための仕組み」といったような内容になります。（SSLの仕組み自体はもっと広い視野を持ったものなのですが、その能力がウェブベースでも利用されているということです。） ショッピングサイト利用時にも、「当サイトはSSL通信を提供しております。」といった案内や、「ブラウザのアドレスバーに表示されるURLが"https://”から始まっていて、右下に鍵のアイコンが表示されている状態」を確認する事が各所で推奨されています。（特に初めてのサイトでは、上記の鍵のアイコンをダブルクリックして「証明書が本当にそのサイト発行のものか」を確認するのが理想といえます。） ところで、普段インターネットを利用する際、ブラウザは秘匿性の高い情報が送信される際にSSL（もしくはその他の配慮）がきちんと行われているかチェックしています。 具体的には、「ユーザーが入力するフォーム形式のデータ」が送信される前にもチェックを行い、無対策であれば警告を行うようになっています。 加えてブラウザはそれが本物のサイトである事を確認するために、「証明書の有効性チェック」を行います。 実際には、サイト発行の証明書が「信頼できる第三者」（認証局）からお墨付きを得ているものか否かをチェックします。（これは、「誰もが信用できる組織に身元を保証されたサイトは信頼できるだろう。」という考え方に基づいています。） 上記の「信頼できる第三者」というポイントが重要で、ブラウザにはあらかじめ利用可能な認証局の情報（ルート証明書）が組み込まれています。（ユーザー側は特に作業を行う必要はありません。） ところが、証明書に何らかの問題があるケースでは、ブラウザは警告を発します。 具体的なケースとして、「証明書の有効期限が切れている。」「そのサイトが利用している認証局の証明書がブラウザにインストールされてない。」などがこれに当たります。（後者の場合、「このサイトから発行されている証明書が確認できません。」というアラートが出る事になります。） こうしたケースでは、そのサイトの運用・安全管理体制に問題がある可能性もありますので、私であれば利用を控えます。（ただし、自組織内での利用などで、安全性が確信できる場合は、利用したいルート認証局の証明書を追加インストールすることで利用が可能になります。） 万一ショッピングサイトなどでこのアラートが出た場合は、利用を控える方が賢明でしょう。（もちろん、これはユーザー側の環境や設定に問題が無いと仮定しての話で、セキュリティー的にみても、この点だけをことさら気にするのはナンセンスであり、総合的な基礎知識が必要なのですが…。） 上記の内容が、ご質問に対する直接的な話になると思われます。 次に、非常に長文になり恐縮なのですが、先日他の場所で行った書き込みが今回の件に大きく関連していそうなため、そのまま下記引用させていただきます。 ■引用開始■ ↓ >>「インターネット上でのクレジットカードの利用」についてなのですが、実はポイントを抑えることによって、「便利さとリスクのバランスが取れた有効な決済手段」として利用できる筈だと思います。（「クレジットカード＝即危険」とはならないではないかという事です。） まずは、もれると困る情報を扱う場合は、全て健康な自宅のPCにて作業する事が大前提ですネ。（ネットカフェなど不特定多数が利用する環境では、キー・ロガーなどにより、利用するあらゆるデータが簡単に盗まれてしまうという認識をもつくらいで丁度良いと思います。） クレジットカードについて、最も世間に定着しているであろう、危険性のイメージは、「流したクレジットカードのデータがインターネット上で誰かに盗まれ、悪用される。」というものだと思います。 実は、インターネット上に流れるクレジットカード情報を盗聴等の手段で盗まれるケースは非常に少ないのではないかと思っています。（一部のケースを除いて、実現するためのコスト（難易度）が見返りに見合わないためです。） カード番号流出のリスクとしては、むしろ現実社会の店舗等に仕掛けられた遠隔操作の読み取り機を使った「スキミング」の手口の方が高いといえるでしょう。（こちらは、すでに相当組織化された手口として定着している感があります。） インターネット上では、上記の環境因子に「SSLによる通信経路の暗号化」という対策が加われば（利用するサイトが適切なSSL通信経路を提供していれば）、通信中にカード情報が漏れてしまう危険性はむしろ低いと思います。 ただし、SSLによって秘匿性が保たれる（情報の暗号化が行われる）のは、あくまで＜自分のPC＞と＜通信相手のWebサーバ（アプリケーション）＞の間だけですので、相手方のその後の情報の扱い方のレベルによって危険性が大きく変わってくると思っています。 例えば、全てのクレジットカード情報をインターネットに接続されたサーバー上のデータベース（アプリケーション）などに集約しており、この管理がズサンなため、不正アクセスや内部犯行などにより丸ごと情報を盗まれるケースや、社内での処理時にカード情報（顧客情報）をそのまま電子メールで移動しているケース（信じがたい事ですが、いまだに暗号化などの配慮をせず、平文（ひらぶん）で顧客情報をインターネット越しに扱っている業者もあるようで、複数のデータをまとめている分、こちらは盗聴のリスクも高いといえるでしょう。）などの発生頻度の方がはるかに高いと思います。（特に、運用ミスや盗難などでデータベースから大量のクレジットカード情報が流出する事件は現実に多発しています。） 上記のようなポイントもあり、「SSL通信（URLが https://から始まっていて、ブラウザの右下に鍵のマークが表示されている状態）＝安全」という過信は禁物なのですが（もちろん、決裁や秘匿性の高い情報のやり取りにおいては、SSL通信は必須ですが）、十分な信用実績を積み重ねてきているサイトに”自分の意志で（能動的に）”アクセスしたケースなどでは、クレジットカードの利用をそれ程敬遠する必要は無いと思っています。（反対に、フィッシング・メールのリンク経由など、相手方の誘導によってアクセスした場所では細心の注意が必要だと思います。） 現実に、私も大手のショッピングサイトなどではクレジットカード決裁を利用しています。（もちろん、初めてのサイトでは私なりのモノサシで危険性の判断をしていますが。） もちろん、既述の「スキミング」の手口なども含め、カード番号がもれてしまう危険性はいつ自分に降りかかってもおかしくないものだと認識すべきだと思いますが（現実に、今やインターネット上では盗難されたクレジットカード情報が二束三文で売買されています。）、インターネット上でのクレジットカード利用だけが特別危険だとは言えないであろうということです。（少なくとも、大手のショッピングサイト（どこまでが大手のそれであるかという問題はありますが…）での利用については、十分安全であり、売り手・買い手ともに利便性の高い決済手段だと言えると思います。） 結局のところ、クレジットカードを所有している以上、実害を防ぐ最も有効かつ確実な手段は、「毎月の請求書（明細）を目で見てチェックする。」という原始的な方法になると思います。（インターネット上でのクレジットカード利用の有無にかかわらずです。） 請求書で発見した不明な請求は、即カード会社に連絡・調査依頼を行い、不当性が証明されれば支払い義務は無いですからね。（逆に引き落としが終わってしまってからの手続きは非常に面倒になってしまいがちですよね。） 加えて、「クレジットカード専用の口座をつくり、必要以上の入金をしない。」という運用方法も万が一の際の経済的な損失を最小限に抑えてくれるはずです。>> ↓ ■引用終了■ 思いかげず、長大な書き込みとなり恐縮ですが、参考になさってみてください。 それでは。