Webブラウザの警告「セキュリティ保護なし」を消したい――FileBlog CA機能が解決

FileBlogを運用しているなかで、Webブラウザのアドレスバーを見ると「保護されていない通信」という表示が出ていて、目に入るたびに何となく不安な気持ちになる。でも、LAN内でしか使わないし、商用のSSL証明書を買うのはコストがかかるし手続きも面倒……と、そのままにしている。

あるいは、FileBlog の「直接開く」機能の実行時に「fbclientlauncher を開きますか？」という警告ダイアログが毎回表示されて、そのたびにクリックして閉じるという手間が続いている。

実は、この2つはどちらもFileBlogにHTTPS通信（SSL/TLS）で接続していないことが原因です。HTTPS接続では「直接開く」実行時の警告ダイアログをの非表示化ができるのですが、HTTP接続のままでは毎回表示されるという、Webブラウザの外部アプリ連携の仕様があります。

FileBlogのCA（認証局）機能では、コストをかけずに・専門的な知識なしに、この問題を解決できます。

＊本機能はWindows端末のみで機能します

HTTPS通信（SSL/TLS）とは？

SSL（Secure Sockets Layer）およびTLS（Transport Layer Security）は、WebブラウザとWebサーバーの間の通信を暗号化するための仕組み（技術）です。その技術を使ってセキュアに通信するのがHTTPS（通信プロトコル）です。現在はTLSの規格が標準ですが、慣習的に以前より使われている古い規格の「SSL」と呼ばれることも一般的です。

SSL/TLSを使っているサイトはURLがhttps://から始まり、Webブラウザのアドレスバーに鍵アイコンが表示されます。これにより、通信の盗聴・改ざん・なりすましを防ぐことができます。

一方、http://（暗号化なし）で接続するサイトは、Webブラウザのセキュリティ仕様が段々と厳しくなっていて、Chrome・Edge・Safariなどでは「保護されていない通信」として警告が表示されます。これはイントラ（組織内の閉じたネットワーク）のシステムであっても例外ではありません。

LAN内だけの運用でもHTTPSは必要か？

「外部には公開していないし、LAN内だけなら安全では？」と思われる方もいるかもしれません。セキュリティの観点では確かに外部公開よりリスクは低いのですが、実用上の問題としてHTTPS化は欠かせなくなっています。

HTTP通信は暗号化されないため、同一ネットワーク内の誰かが通信をパケットキャプチャ（覗き見）すると、ログインIDやパスワード、社内データなどの機密情報を平文のまま盗み取られる危険性があります。

また、昨今のWebブラウザはHTTPサイトへのアクセスを積極的に警告するよう設計されており、この方針は今後さらに強化される見込みです。そして、前述の「直接開く」機能のように、HTTPSでなければ利用できない、あるいは不便になることがWebブラウザの仕様として増えています。

商用SSL証明書と自己署名証明書の違い

HTTPS化の方法を調べると、「SSL証明書が必要」という情報に行き着きます。SSL証明書には大きく2種類があります。

商用SSL証明書（CA署名証明書）

DigiCertやGlobalSignなどのパブリック認証局（CA）が発行する証明書です。これらの認証局はWebブラウザにあらかじめ登録されているため、証明書をサーバーに設定するだけでWebブラウザが信頼し、警告なしでHTTPS通信ができます。

外部向けのWebサービスには必須の選択肢ですが、年間数千円〜数万円のコストがかかります。また、有効期限（現在のところ約1年間）があるため定期的な更新作業も必要です。外部公開もしていなかったり、利用者数の少なかったりする組織内ツールのために購入するには、コストと手間が見合わないと感じるかもしれません。

自己署名証明書

自分自身で署名した証明書です。いわゆる「オレオレ証明書」と呼ばれているものです。コストはかかりませんが、Webブラウザが信頼する認証局からの発行ではないため、証明書が信頼できない旨の「セキュリティ保護なし」という警告が表示されます。暗号化の仕組み自体は機能しているものの、警告が消えないため問題の根本的な解決にはなりません。