2023年12月30日

"http://〜" が "https://〜" に自動的に書き換わってWebサイトにアクセスできない Part 3

さて「"http://〜" が "https://〜" に自動的に書き換わってWebサイトにアクセスできない Part 1」では、その背景についてご紹介いたしましたが、Part 2 ではその対策についてみていきました。でも実際のところその設定だけではうまくいかないケースもちらほら。

ということで、Part 3 では更なる対策がないか?確認してみました。


【根本的には情報提供側の対策が必要】

Part 1 でもご紹介していますが、今回 Google Chrome など一部のブラウザで、"http://〜" が "https://〜" に書き換わってしまうのは、ブラウザ側の仕様でもあります。ただしその根本的な要因は、情報を提供する側の問題でもあるので、Webサイトが対応してくれないと解決には至りません。

20231217-2-4.jpg 20231217-2-5.jpg

なので、前回もご紹介した SAKURA Internet のお知らせにもあるように、自分のWebサイトに安全にアクセスしてもらえるようにサーバー側で対処をしてもらうように、そのサイト側に訴えてみるというのも一つでもあります。


【単純な設定変更だけでは対応しきれなくなりつつある】

Google Chrome の場合、2021年9月の Ver.94 で実装されてますが、その機能は無効化されていました。Google Chrome にしても、そのもとになるものは、Chromium Projects。そのブログを見ると、2021年7月にありました。

20231217-3-1.jpg

Increasing HTTPS adoption」(ChromiumBlog)をみると、"Opting in to an HTTPS-First World" のところでしっかりと触れてますね。Firefox を提供する Mozilla とも共有されているともあります。

また、その根本が Chromium なわけですから 当然ながら、同じ Chromium ベースのブラウザでもある Microsoft Edge も同様なわけです。



--Google Chromeの場合:

基本的な機能としては、[...] > プライバシーとセキュリティ > 詳細設定 にある "常に安全な接続を使用する" をオフにします。

20231217-3-9.jpg

またこれ以外にも、今回問題になったその実験的な機能として、"Experiments" に、その設定があります。当初は、"#https-first-mode" で始まったようですが、その後 "#https-first-mode-v2" となり、現在は、"#https-upgrades" という項目で搭載されています。

この設定は、Google Chrome を開いて、アドレスのところに、"chrome://flags/" と入力すれば表示されます。

20231217-3-2.jpg 20231217-3-3.jpg

http サイトにアクセスしようとすると https サイトに転送される技術のことを "HSTSHTTP Strict Transport Security)" と言いますが、当初はこの設定を変更すれば回避できていましたが、どうも Google Chrome のコミュニティなど特に海外の情報を見ているとすでにこれだけではすでに対処できない段階にもなっているようです。

最近の例だと、韓国のGoogle Chrome のコミュニティに以下のような記事がありました。


これによると、"Allow SHA-1 server signatures in TLS" のところを "Enabled" にすれば改善したという事例が紹介されていました。
ただしこうした対処法もいつまで有効なのかは不明です。


-- Microsoft Edge の場合:

冒頭にも触れましたが、Microsoft Edge も、Google Chrome 同様に、Chromium をベースとしたブラウザですから、今回問題になっている機能は実装されています。

20231217-3-4.jpg 20231217-3-5.jpg

その導入については、

20231217-3-6.jpg 20231217-3-7.jpg


Microsoft Edge の場合には、2021/6/1に公開された Windows Blogs の中で紹介されています。
Microosft Edge の場合も、Google Chrome と同様に、ブラウザを起動し、アドレスに "edge://flags/" と入力して "試験段階の機能" に入ります。検索のところに、"#edge-automatic-https" と入力して検索すれば表示されます。


-- Firefox の場合:

Chromium Blog の中でも、Mozilla ともこうしたことは共有していることが紹介されておりましたが、Firefox でも、こうした HTTPS-First Mode の設定はあります。ただしデフォルトではオフになっています。

20231217-3-8.jpg

Firefox の場合には、"HTTPS-Only モード" を有効化/無効化 にて対応します。

[三] > 設定 > プライバシーとセキュリティ

と開くと、その設定があります。


--各種設定について:

こうした設定は、設定後再起動が必須になります。ブラウザの再起動だけだと、画面に表示されていなくてもバックグラウンドで動作している場合もあるので、うまくその設定が反映されないこともありますので、PC自体を再起動していただいた方がいいと思います。

加えて、キャッシュなどが残っているとその設定がうまく反映しないこともあります。cookie を含めたキャッシュの削除も忘れずに行った方がいんでしょうね。


【セキュリティ対策ソフトなどの設定が必要なケースも】

ウィルス対策としてセキュリティソフトによっても設定が必要になるケースもありませう。セキュリティソフトの場合には、https に書き換えてしまうという事ではなく、アクセス自体をブロックしてしまうケースがありますので、信頼済みサイトに登録するなどアクセスできるように設定を見直す必要があります。

20231217-4-1.jpg

基本的には、それぞれのソフトのサイトなどをご参考の上、設定を見直してみてください。

-- ウイルスバスターの場合:

20231217-4-2.jpg

--カスペルスキーの場合:

20231217-4-3.jpg

--ESET の場合:

20231217-4-4.jpg

いくつか確認し見るとやはりあるんですね。詳細は各セキュリティソフトの設定を確認してみてください。


【何をやっても自動的に書き換わってしまう場合】

・セキュリティソフトの設定
・ブラウザの設定(キャッシュの削除なども含む)

を行っても改善しない.... 

そんな場合には、あきらめて、そうした設定がデフォルトではまだ無効になっている "Firefox" などの他のブラウザを使用するしかないようです。Google Chrome 自体をロールバックしてバージョンダウンするとか、古いバージョンを入れなおすなんて方法もありかとは思いますが、それ以外の不具合のことや、怪しいサイトにつながっておかしなものをダウロードしかねないリスクを考えるとお勧めできません。

そもそもが、本来 情報を提供する側、すなわちWebサイトを運営する側が対応すべき案件なわけです。

今回ご紹介した SAKURA Internet などのようなレンタルサーバーを借りて Web サイトを公開している人、このブログもそうですが、SEESAAやら、FC2、WordPress などなどのブログサイトを介して情報を発信している側の人は、自分のブログがちゃんと見られるのか? SSLは設定されているのか? しっかり確認しておきましょうね。


<参照>


Surface の新機能のご紹介


デル株式会社
posted by クリック at 19:00| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする