SSLに対応した携帯サイトを開発していて気になるのはSSLの警告画面表示。SSLページに入ったり、SSLページから抜けたりするときに警告ダイアログが表示されてしまうからだ。でも機種やページによっては警告ダイアログが出ないこともあり、表示条件がよく分からない。とりあえず会社にある端末を使って調べてみることにした。
実験方法
サーバー側
社内の開発サーバーのApacheを使用してテストページを配置。テストページは次のようなものを用意した。
- HTTP静的ページ
- SSL静的ページ
- HTTP静的ページへのリダイレクトCGI
- SSL静的ページへのリダイレクトCGI
- 画像URLがHTTPSとなっているHTTP静的ページ
- 画像URLがHTTPとなっているSSL静的ページ
これらのページにはどのページにも行き来できるようにリンクを張った。そしてSSLは開発で使用しているベリサイン証明書を使用した。
クライアント側
手元にあった次の端末を利用した。
- docomo N-06A / N905i / N506iS
- au G9 / W61K
- SoftBank 920P
docomoのSSL警告表示
まずはdocomoでの調査結果から。警告画面の表示結果は以下のようになった。
| ページ遷移の種別 | ダイアログのメッセージ ([]内はボタン) |
ボタン選択の 必要性 |
|---|---|---|
| HTTPページ⇒SSLページへのリンク | SSL通信を開始します(認証中) [キャンセル] |
不要 |
| SSLページ⇒SSLページへのリンク | SSL通信を開始します(認証中) [キャンセル] ※1 |
不要 |
| SSLページ⇒HTTPページへのリンク | SSLページを終了しますか? [YES][NO] |
必要 |
| HTTPページ⇒SSLページへのリダイレクト | SSL通信を開始します(認証中) [キャンセル] |
不要 |
| SSLページ⇒SSLページへのリダイレクト | SSL通信を開始します(認証中) [キャンセル] ※1 |
不要 |
| SSLページ⇒HTTPページへのリダイレクト | SSLページを終了しますか? [YES][NO] |
必要 |
| HTTPページ内のSSL画像 | なし ※2 |
- |
| SSLページ内のHTTP画像 | サイト内に安全性が確認できない項目があります。それらも取得しますか? [YES][NO] ※2 |
必要 |
※1 表示される場合と表示されない場合がある。通信タイミングが関係している??
※2 iモードブラウザ2.0対応機種のみ。iモードブラウザ1.0対応機種ではそもそも画像が表示できない。
docomoの場合は、SSL通信中に「SSL通信を開始します」がほぼ毎回表示されることが特徴。これはSSL通信を開始したときに単にメッセージとして表示されているだけで、ページの読み込みが完了すると自動的にメッセージが消える。
またSSLページからHTTPページへ遷移する場合には次の警告ダイアログが表示される。このダイアログでは[YES]を選択しなければ先に進めなくなる。
他にはSSLページ中に含まれている画像やCSSをHTTPで取得する場合にも、警告ダイアログが表示されることが分かった。
auのSSL警告表示
auの調査結果は次の通り。docomoと比べると警告メッセージは少なかった。
| ページ遷移の種別 | ダイアログのメッセージ ([]内はボタン) |
ボタン選択の 必要性 |
|---|---|---|
| HTTPページ⇒SSLページへのリンク | なし | - |
| SSLページ⇒SSLページへのリンク | なし | - |
| SSLページ⇒HTTPページへのリンク | 「ここでセキュリティが確保されているエリアは終わりです」 もしくは 「これ以降のページはセキュリティが確保されていません」 [OK] |
必要 |
| HTTPページ⇒SSLページへのリダイレクト | なし | - |
| SSLページ⇒SSLページへのリダイレクト | なし | - |
| SSLページ⇒HTTPページへのリダイレクト | これ以降のページはセキュリティが確保されていません [OK] ※1 |
必要 ※1 |
| HTTPページ内のSSL画像 | なし | - |
| SSLページ内のHTTP画像 | なし | - |
※1 auブラウザver7.2対応機種のみダイアログが表示される。
au端末だとSSLを抜けるときだけ次のようなダイアログが表示される。
ちなみにSSLページからHTTPページへのリダイレクトの場合、auブラウザver6.2では警告ダイアログが表示されないがver7.2では警告ダイアログが表示された。auだと機種によってダイアログ表示に違いがあるようだ。
SoftBankのSSL警告表示
SoftBankはSSLページへの入口と出口で警告メッセージが表示された。
| ページ遷移の種別 | ダイアログのメッセージ ([]内はボタン) |
ボタン選択の 必要性 |
|---|---|---|
| HTTPページ⇒SSLページへのリンク | ここからのページは高度なセキュリティで保護されます [OK] |
必要 |
| SSLページ⇒SSLページへのリンク | なし | - |
| SSLページ⇒HTTPページへのリンク | ここからのページは高度なセキュリティが解除されます [OK] |
必要 |
| HTTPページ⇒SSLページへのリダイレクト | ここからのページは高度なセキュリティで保護されます [OK] |
必要 |
| SSLページ⇒SSLページへのリダイレクト | なし | - |
| SSLページ⇒HTTPページへのリダイレクト | ここからのページは高度なセキュリティが解除されます [OK] |
必要 |
| HTTPページ内のSSL画像 | なし | - |
| SSLページ内のHTTP画像 | なし | - |
SoftBankではスキーマ(HTTP/HTTPS)が切り替わったタイミングで警告ダイアログが表示される。3キャリアの中では一番多く表示されることが分かった。
まとめ
いろんな機種を調査して、SSLの警告ダイアログの表示条件がやっと分かった。
- SSLページを抜けてHTTPページへ遷移する際には警告ダイアログが表示される
- (SoftBankのみ)HTTPページからSSLページへ入るときにも警告ダイアログが表示される
- (docomoのみ)HTTPSページ内にHTTPで画像やCSSを取得する際にも警告ダイアログが表示される
- ベリサイン証明書を使用していても警告ダイアログが表示される
ということで携帯でSSLを使うなら、この警告ダイアログは避けられそうにないなあ。
同じく、表示条件がわからずにこのサイトにたどり着きました。
特に、↓
>(docomoのみ)HTTPSページ内にHTTPで画像やCSSを取得する際にも警告ダイアログが表示される
について頭をなやませていたのですが、
他のサイトも調べてみたところ、
ApacheのKeepAliveをOnにすると、コネクションが継続するため、この警告は出なくなるようです。
http://www.bitwin.ne.jp/blog/?p=3
ようなのです、、、が、
それでもどうも、端末によっては継続して警告が出続けるような気がしてます。
この実験は、KeepAliveはOffで行ったものでしょうか?
Onで行った場合、実験用のdocomo3機種で差がでたりするのかな、、、と、少し気になったりしました。
コメント by ueno — 2010年04月26日 月曜日 @ 19:35:57
>uenoさん
コメント&情報ありがとうございます。
SSLのKeepAliveはONの状態でテストしました。
しかしHTTPとHTTPSのドメインは異なる状態なので、警告メッセージが出たのかもしれません。
HTTPとHTTPSのドメインが同じ場合は警告メッセージの内容が異なるようなので、環境があれば実験してみたいですね。
コメント by koreadays — 2010年04月27日 火曜日 @ 9:43:16
>しかしHTTPとHTTPSのドメインは異なる状態なので、警告メッセージが出たのかもしれません。
なるほど、そうだったのですね、、すみません、少し内容を読み違えてしまっていました。
ずれた質問をしてしまい申し訳ないです。
ありがとうございます!
コメント by ueno — 2010年04月28日 水曜日 @ 12:00:36