• お役立ち

主要ブラウザ(Chrome, Firefox, Edge, IE, Safari)のSSL関連挙動一覧

  • このエントリーをはてなブックマークに追加
  • LINEで送る

先日投稿したGoogle Chromeのセキュリティ仕様変更の記事↓

10月からのChromeのセキュリティ挙動の変更について


…に関連して、現行の主要ブラウザについて、以下の5パターンのページにアクセスした場合の挙動について検証してみました。

  • 非SSLのページ
  • 非SSLのページ(フォームあり)
  • 非SSLのページ(パスワードフォームあり)
  • SSLのページ
  • SSLのページ(非SSLリソースの読み込みあり)

以下にその検証結果を公開します。


各ブラウザでの検証結果

[PC] Google Chrome (Windows / 59.0.3071.86)

非SSLのページ
  • URL欄左側に"i"アイコン表示。
  • "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。
非SSLのページ(フォームあり)
  • URL欄左側に"i"アイコン表示(※「非SSLのページ」と同様)。
  • "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。(※「非SSLのページ」と同様)。
  • 10月以降は、ユーザー入力フィールドのフォーカス時に「保護されていません」という警告が表示される予定。
非SSLのページ(パスワードフォームあり)
  • URL欄左側に"i"アイコンと「保護されていません」という警告表示。
  • "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。(※「非SSLのページ」と同様)。
SSLのページ
  • URL欄左側に「緑色の南京錠」アイコンと「保護された通信」という情報表示。
  • 南京錠アイコンをクリックすると「保護された接続」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に「緑色の南京錠」アイコンと「保護された通信」という情報表示(※「SSLのページ」と同様)。
  • 南京錠アイコンをクリックすると「保護された接続」という情報を表示(※「SSLのページ」と同様)。
  • URL欄右側に「赤い×印のついた盾」の警告アイコンを表示。
  • 赤い×印のついた盾をクリックすると「このページは承認されていないソースからのスクリプトを読み込もうとしています」という警告を表示。

    ここで「安全でないスクリプトを読み込む」をクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。

[PC] Mozilla Firefox (Windows / 53.0.3)

非SSLのページ
  • URL欄左側に"i"アイコン表示。
  • "i"アイコンをクリックすると「この接続は安全ではありません」という警告を表示。
非SSLのページ(フォームあり)
  • URL欄左側に"i"アイコン表示(※「非SSLのページ」と同様)。
  • "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という警告を表示。(※「非SSLのページ」と同様)。
非SSLのページ(パスワードフォームあり)
  • URL欄左側に"i"アイコンと「打ち消し線つきの南京錠アイコン」を表示。
  • "i"アイコンをクリックすると「この接続は安全ではありません」に加え、「このページのログインフォームは安全ではありません」という警告を表示。
  • 入力フィールドのフォーカス時にフィールド直下に「この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。」という警告を表示。
SSLのページ
  • URL欄左側に「緑色の南京錠」アイコンを表示。
  • 南京錠アイコンをクリックすると「安全な接続」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に緑色の南京錠アイコンと「保護された通信」という情報表示(※「SSLのページ」と同様)。
  • 南京錠アイコンをクリックすると「保護された接続」という情報に加え、「このページの一部が安全でないためFirefoxがブロックしました」という警告を表示。

    ここで「>」ボタンをクリックし、「このセッションのみ保護を無効にする」をクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。

[PC] Microsoft Edge (Windows / 40.15063.0.0)

非SSLのページ
  • 特に情報表示なし。
非SSLのページ(フォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
非SSLのページ(パスワードフォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
SSLのページ
  • URL欄左側に「南京錠」アイコンを表示。
  • 南京錠アイコンをクリックすると「サーバーへの接続は暗号化されています。」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
  • URL欄右側に「ウィンドウと盾」のアイコンを表示。
  • ウィンドウと盾アイコンをクリックすると「情報を保護するために、安全でない接続経由で送信されたコンテンツをブロックしました」という警告を表示。

    ここで「全てのコンテンツを表示」ボタンをクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。

[PC] Microsoft Internet Explorer (Windows / 11.332.15063.0)

非SSLのページ
  • 特に情報表示なし。
非SSLのページ(フォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
非SSLのページ(パスワードフォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
SSLのページ
  • URL欄右側に「南京錠」アイコンを表示。
  • 南京錠アイコンをクリックすると「このサーバーへの接続は暗号化されています。」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
  • 画面下部に「セキュリティで保護されているコンテンツのみ表示されます。」という警告を表示。

    ここで「すべてのコンテンツを表示」ボタンをクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。

[PC] Apple Safari (macos / 10.1)

非SSLのページ
  • 特に情報表示なし。
非SSLのページ(フォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
非SSLのページ(パスワードフォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
SSLのページ
  • URL欄左側に「南京錠」アイコンを表示。
  • 南京錠アイコンをクリックすると「(ドメイン名)への接続は暗号化されています」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
  • 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。

[iPhone7] Apple Safari (iOS 10.3)

非SSLのページ
  • 特に情報表示なし。
非SSLのページ(フォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
非SSLのページ(パスワードフォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
SSLのページ
  • URL欄左側に「南京錠」アイコンを表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
  • 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。

[Android] Google Chrome (Android 5.1)

非SSLのページ
  • 特に情報表示なし。
非SSLのページ(フォームあり)
  • 特に情報表示なし(※「非SSLのページ」と同様)。
  • 10月以降の変更の有無は不明。
非SSLのページ(パスワードフォームあり)
  • URL欄左側に"i"アイコン表示。
  • "i"アイコンをタップすると「このサイトへの接続は保護されていません」という情報を表示。
SSLのページ
  • URL欄左側に「緑色の南京錠」アイコンを表示。
  • 南京錠アイコンをクリックすると「保護された接続」という情報を表示。
SSLのページ(非SSLリソースの読み込みあり)
  • URL欄左側に緑色の南京錠アイコンを表示(※「SSLのページ」と同様)。
  • 南京錠アイコンをクリックすると「保護された接続」という情報を表示(※「SSLのページ」と同様)。
  • 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。

おわりに

PC版のChromeとFirefoxが他のブラウザに比べてこうした情報の表示・仕様が厳しいことは認識していましたが、こうして改めて比較してみると、対応状況は各ブラウザで本当にまちまちですね。個人的にはChrome(スマホ版)とSafari(PC版・スマホ版)で共通して、SSLのページ(非SSLリソースの読み込みあり)で非SSLリソースをブロックしたということが明示されない点が驚きでした。

星虹思械BRICOLEUR

関連コンテンツ