SewiGの日記

■ [Network] 携帯電話のSSL対応は微妙

最近、携帯電話のブラウザで買い物する機会がありました。PCではオンラインショッピングを良くするのですが、携帯電話で買い物は久しぶりです。最近は携帯電話から勝手サイトに繋ぐのが当たり前になってきましたからPCと同様にセキュリティが重要です。

オンラインショッピングで重要なのはクレジットカード番号などが安全な通信路で送信できるかが重要です。PCならばSSLの仕組みが正しく作用しているかどうかはブラウザの鍵マークが付いているかどうかで簡単に判別できます。

では携帯電話のブラウザではどうなのか。

とりあえず自分の携帯電話(V603SH)で調べてみました。すると、ちゃんと鍵マークが表示される仕組みになっていました。

しかし。

その表示範囲が一部気に入らなかったので紹介します。

まず正しい証明書を持つサーバに私の携帯電話(V603SH)でアクセスします。すると以下の表示が出ました。

ここからのページは高度なセキュリティで保護されます
１　ＯＫ
２　キャンセル

なるほど。ちゃんと安心していいよというメッセージが出るわけですね。そして、通常のページに戻ると、また同様の表示で暗号化されない旨の表示が出ました。

では、証明書に欠陥がある（期限切れやクライアントが検証できないような証明書などが存在する）サーバにアクセスすると…

ここからのページは高度なセキュリティで保護されます
１　ＯＫ
２　キャンセル

おいおい。よろしくない証明書のサーバにアクセスしてるのにこんな表示していいの？　暗号化はされるけど、SSLの仕組みが正しく動作しないでしょ。実はこの表示はアクセスしようとすると即表示されます。つまりhttpsの部分だけで高度なセキュリティで保護されるとでたらめに表示しているのです。

Softbankのプロキシ？がデータを受信すると以下のように警告を出すのでこの時点でアクセスしなければ何の問題もありませんが、とても紛らわしいです。

このサイトは安全ではない可能性があります
１　キャンセル
２　継続

さらにここで、「継続」を選ぶとリスク覚悟でページが表示されるのですが、なんとよろしくない証明書のサーバからのページでも鍵マークが表示されます。Internet ExplorerとOperaでは警告を無視しても、鍵マークが表示されません。

…危険です。端末は安全だと言っていますけど。