> > Safari 11 に改善された証明書の警告画面が登場

RSSフィード

Safari 11 に改善された証明書の警告画面が登場

2017 年 6 月、Apple は WWDC(Worldwide Developers Conference)における Safari 11 の発表で同ブラウザの新機能をプレビューとして披露しましたが、そのときに SSL 証明書の警告に関するエラーページの新デザインも紹介されました。
macOS 向けの Safari 11 はその後 9 月に正式リリースとなり、最新バージョンの OS、High Sierra に標準搭載されています。
証明書の警告画面の刷新は Safari に関する重要な改善点のひとつで、これほど大きな変更がセキュリティ画面に加えられたのは数年ぶりのことです。

safari-UI-changes-1-768x338.png

なぜセキュリティ画面が大切なのか

C証明書の有効性確認は、証明書が信頼できるものかどうかを評価するプロセスであり、HTTPS 接続を確立する際にブラウザが実行するものとしては最も重要性の高いタスクのひとつです。このタスクには、デジタル証明書の検証、証明書が接続対象のホスト名を証明するものとして有効かどうかの確認、証明書チェーンの評価など、いくつかの手順が含まれます。技術的な観点から言うと、主要ブラウザはどれも検証を正しく処理しています。

しかしながら、ブラウザは技術的な適合性さえクリアすればよいというものではありません。証明書の警告が専門用語だらけのエラーメッセージでは意味が通じません。その上、画面の設計が証明書のエラーを簡単に無視できてしまうような作りではセキュリティリスクが生じてしまいます。

利用者に使ってもらうブラウザには、利用者が安全な選択肢を選べるように考慮された画面をユーザーインターフェースとして提供する責任があります。以前のバージョンの Safari では、利用者が証明書のエラーに遭遇すると、エラーメッセージを含む証明書ビューワーが表示されていましたが、その文言はあいまいで利用者に優しいとは言えない内容でした。下のスクリーンショット画像は、Safari バージョン 9 および 10 で使用されていた従来のエラー画面です。

Safari-UI-changes-2.png

この画面では、技術的な知識のない一般の利用者が安全な選択肢を選ぶのは容易ではありませんでした。
「証明書を表示」をクリックすると証明書チェーンが表示されますが、ほとんどの利用者はこれをどう使えばよいのかを知りませんし、表示されるメッセージはエラーについての細かい情報です。
場合によっては、それらのメッセージがわかりにくかったり、完全に誤解を招いたりしていました。普通の利用者であれば絶対に使用しないはずの「自己署名証明書」を使用しているサイトの場合は、「this certificate has not been verified by a third party(この証明書は第三者によって検証されていません)」というメッセージが表示されていましたが、これではまったく信頼されていない証明書を使うことのリスクが伝わりません。少なくとも 2013 年リリースの Safari バージョン 7 以来、この画面が使われてきたようです。当時はセキュリティ関連の画面が詳細に検討されることもほとんどなく、あまり理解もされていませんでした。セキュリティに関係する Web ブラウザの画面がようやくデータに基づいて改善されるようになりましたが、これはここ数年のことです。

効果的な警告の表示

Safari 11 の 新しい警告画面は、Google Chrome のそれと非常に似ています。

Safari-UI-changes-3-768x493.png

Safari 11 は、Chrome と Firefox がすでに採用しているのと同様、ページ全体にエラーを表示する形となっていて、主要なデザイン要素をいくつか借用しています。

Chrome の証明書の警告が一新されたのは 2015 年でした。広範囲に及ぶ研究調査によって Google のエンジニアたちが得た結論は、望ましい選択肢を視覚的に優先した "opinionated design" (主張の強いデザイン)を採用すると、利用者が警告に従う割合が大幅に増加するということでした。Google が新しくデザインし直した画面は Chrome 37 で初登場し、警告に従う人の割合が従来の 31% から 58% に改善しました。

Chrome と Safari 11 は同じスタイルの "opinionated design" を採用しており、どちらも望ましくない選択肢(=警告を無視して続行する)を非表示にしています。無視して続行する選択肢を表示するには、最初にボタンをクリックしなければなりません。このボタンの表示名は、Chrome であれば「詳細設定」、Safari 11 では「詳細を表示」となっています。エラーを無視して続行する選択肢は、小さくて視覚的に目立たないハイパーリンクです。

Safari の新しいエラーページには、「前のページに戻ってください」と書かれています。アドバイスは技術的な内容ではないので、ほとんどの場合、どうすべきかを利用者が明確に理解できるガイダンスとなっています。

Safari-UI-changes-4-768x417.png

Safari 11 の証明書の警告画面は、Google の Chrome チームが実現したのと同様の改善をもたらすでしょう。警告順守率の改善は、利用者の安全確保を助けるだけでなく、非効果的な作りの警告によって生じる危険な影響のひとつ、「警告疲労」対策にもなっています。
警告疲労は、利用者があまりにも頻繁に警告を見せられて、警告を重要だと思わなくなったり、間違っていると考えたりすることです。頻繁な表示のほか、警告メッセージの意味を利用者が理解できないときにも、警告疲労は生じます。

現在は macOS のバージョン El Capitan(10.11.6)以降で使える Safari 11 を App Store から入手できます。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Safari 11 Introduces Improved UI for Certificate Warnings - [2017 年 9 月 28 日投稿]

※文中の画面はすべて英語版のものです。
※Apple、macOS、Safari は米国および他の国々で登録された Apple Inc. の商標です。