常連

ウェブサイトのURLの先頭にhttp:// と https:// がありますが、この違いがよくわかっていません。

調べてみたところ、sはsecureの略で、HTTPSはHTTPよりも安全だと書かれていました。

なんとなくセキュリティに関係していることは理解できたのですが、具体的に何がどう違うのか、技術的な説明がよくわかりません。

例えば、
- HTTPとHTTPSの通信の違いは？
- SSL/TLS証明書とは何で、どのような役割を果たしているの？
- HTTPSにするメリット・デメリットは？
- HTTPのサイトをHTTPSにするにはどうすれば良いの？

などが知りたいです。調べましたが、ある程度エンジニア経験や詳しい方のご回答をいただきたいです。まだまだ未熟で他の方の回答を参考にしたいと思い。
できれば、わかりやすく教えていただけると助かります。

現在、自分のポートフォリオサイトをhttp:// で公開しているのですが、セキュリティ面が不安です。
将来的にはECサイトなども作ってみたいと考えているので、HTTPSへの移行も検討しています。

どのような点に注意すれば良いか、アドバイスをいただけると嬉しいです。

よろしくお願いいたします。

HTTPとHTTPSの違いは何ですか？

表題の通りでCentos6.7 Final で yum をすると[Errno 14] problem making ssl connectionとなります
この解決方法は割と情報があっていつも以下の通りで直るのですが今回は直りませんでした
なにかリポジトリ等が変わったりしたのでしょうかご存じの方お教え下さいませ

https://ex1.m-yabe.com/archives/5979

```ここに言語を入力
#sedコマンドでファイルをvaultに書き換え。
#mirrorlist= の行をコメントにし、baseurl= のホスト名を「vault.centos.org」に変更しコメントを外す。

# sed -i -e "s/^mirrorlist=http:\/\/mirrorlist.centos.org/#mirrorlist=http:\/\/mirrorlist.centos.org/g" /etc/yum.repos.d/CentOS-Base.repo
# sed -i -e "s/^#baseurl=http:\/\/mirror.centos.org/baseurl=http:\/\/vault.centos.org/g" /etc/yum.repos.d/CentOS-Base.repo

# RPMパッケージをダウンロードするので、任意のディレクトリに移動
$ cd /usr/local/src/

# wgetでRPMのパッケージをダウンロード
$ wget ftp://ftp.pbone.net/mirror/vault.centos.org/6.10/updates/x86_64/Packages/ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm
$ wget http://ftp.iij.ad.jp/pub/linux/centos-vault/6.7/os/x86_64/Packages/p11-kit-0.18.5-2.el6_5.2.x86_64.rpm
$ wget http://ftp.iij.ad.jp/pub/linux/centos-vault/6.7/os/x86_64/Packages/p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm

# rpmコマンドでインストール
$ sudo rpm -Uhv  p11-kit-0.18.5-2.el6_5.2.x86_64.rpm p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm
$ sudo rpm -Uhv  ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm

#yum clean all

# やってみる
#sudo yum install -y nss
Loaded plugins: fastestmirror, security
Setting up Install Process
Loading mirror speeds from cached hostfile
http://vault.centos.org/centos/6/os/x86_64/repodata/repomd.xml: [Errno 14] problem making ssl connection
Trying other mirror.
Error: Cannot retrieve repository metadata (repomd.xml) for repository: base. Please verify its path and try again


```

この手法で大体直るのですがなにがいけないのでしょうか
vi /etc/yum.repos.d/CentOS-Base.repo
は以下の通りです

```ここに言語を入力
# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
slverify=0

#released updates
[updates]
name=CentOS-$releasever - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

```

どなたかピンとくる方お教えいただけますと嬉しいです


Centos6.7 で yum をすると[Errno 14] problem making ssl connectionとなる

# 解決したいこと

透過型プロキシの環境下でPythonのライブラリ(slackbot)を利用して外部とHTTPSでやり取りをしたいのですが、
下記エラーが発生してしまうため無視もしくは証明書の指定をして外部と正常にHTTPS通信をできるようにしたいです。

```
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1123)
```

動かしたいPythonライブラリは`Slackbot`のため、
requestsのような`CURL_CA_BUNDLE=''`のようなものがうまく効かず、なんとかできないかと考えている状況です。

```
(sample-slackbot) nakamiri@ITPC00603:~/work/sample-slackbot$ CURL_CA_BUNDLE="" python run.py
start slackbot
/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/urllib3/connectionpool.py:1013: InsecureRequestWarning: Unverified HTTPS request is being made to host 'slack.com'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  warnings.warn(
Traceback (most recent call last):
  File "/home/nakamiri/work/sample-slackbot/run.py", line 19, in <module>
    main()
  File "/home/nakamiri/work/sample-slackbot/run.py", line 13, in main
    bot = Bot()
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/bot.py", line 20, in __init__
    self._client = SlackClient(
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 43, in __init__
    self.rtm_connect()
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 48, in rtm_connect
    self.parse_slack_login_data(reply)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 71, in parse_slack_login_data
    self.websocket = create_connection(self.login_data['url'], http_proxy_host=proxy,
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_core.py", line 487, in create_connection
    websock.connect(url, **options)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_core.py", line 210, in connect
    self.sock, addrs = connect(url, self.sock_opt, proxy_info(**options),
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 77, in connect
    sock = _ssl_socket(sock, options.sslopt, hostname)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 182, in _ssl_socket
    sock = _wrap_sni_socket(sock, sslopt, hostname, check_hostname)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 156, in _wrap_sni_socket
    return context.wrap_socket(
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 500, in wrap_socket
    return self.sslsocket_class._create(
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 1040, in _create
    self.do_handshake()
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 1309, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1123)
```

# 環境

羅列するとこんな環境です

* Windows 10 ( or WSLv1 Ubuntu18.04 )
* Python 3.9
* **Slackbotを動かしたい**
* 透過型プロキシが設置されたよくあるオフィスNW
* PCにはプロキシが利用する証明書がインストール済
  
証明書については、
* Windows10は`certlm.msc`で確認できる`信頼されたルート証明機関`配下
* WSLv1 Ubuntu18.04はUbuntu標準方法で、`/etc/ssl/certs`に配置後`update-ca-certificates`

で証明書のインストールを実施しています

---

# 試したこと

**ここから下は回答の参考になればと思い、色々試したことを記載しています**

## Windows 10 ネイティブで

* Python 3.9をインストーラでインストール
* pip実行時に上記SSLエラーが発生したためWin10は一旦諦め、WSLで試すことに

```pip実行時エラー
PS C:\Users****\Desktop> pip install pipenv
WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=3, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=2, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=1, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
Could not fetch URL https://pypi.org/simple/pipenv/: There was a problem confirming the ssl certificate: 
HTTPSConnectionPool(host='pypi.org', port=443): Max retries exceeded with url: /simple/pipenv/ (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))) - skipping
ERROR: Could not find a version that satisfies the requirement pipenv (from versions: none)
ERROR: No matching distribution found for pipenv
Could not fetch URL https://pypi.org/simple/pip/: There was a problem confirming the ssl certificate: HTTPSConnectionPool(host='pypi.org', port=443): Max retries exceeded with url: /simple/pip/ (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed 
certificate in certificate chain (_ssl.c:1122)'))) - skipping
```

## WSLv1 Ubuntu 18.04

### slackbot実行のトライアンドエラー
#### `CURL_CA_BUNDLE`の設定

環境変数で`CURL_CA_BUNDLE=''`を実施したが、RTMに入る前の通常のリクエスト部のエラーしか消えず

#### 見つけたエラーを無視しそうな設定

[こちらのQiita記事](https://qiita.com/shutokawabata0723/items/9733a7e640a175c23f39)で見つけたコードをmain関数の定義前のライブラリインポート直後で実行しましたが、変化なしでした。
(Python2系向けのものなのでしょうか...)

また、その後ろに下記のような内容を追加してみましたが、同様でした。

```
ctx = ssl.create_default_context()
ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE
```

(上記の`CURL_CA_BUNDLE`を消すと、一発目の通常リクエストもエラーになり悪化してしまいました)

#### SSL関連の環境変数での調整

下記のような設定を順次試しましたが、全てエラーで止まってしまいました

`SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt`
`SSL_CERT_FILE=インストール時に利用した追加用証明書`
`SSL_CERT_DIR=/etc/ssl/certs/`


### 環境構築周り

* pyenvでPython 3.9系をインストール時にwget関連でのエラーが発生したため、上記証明書インストール実施
* 証明書エラーが消えたことを確認できたので、pyenvでPython3.9インストール
* pipで同様のエラーが発生したので`--trusted-host`で逃げて環境構築

ここまでで、wget/curlは普通に実行できるが、Pythonのバイナリで実行されるHTTPS通信がエラーとなることを確認
その上でslackbotを利用したBotアプリを作成して実行すると、同様にエラーが発生するため冒頭のSSLエラーの無視や解決方法を伺いたいです。

プロキシ環境下でのPython SSLエラーの無視もしくは証明書の指定をする方法

お世話になっております。
ウェブサイトをSSL対応させようとしたらapacheが起動しなくなってしまいました。

# 環境
CentOS Linux release 7.3.1611 (Core)
Server version: Apache/2.4.6 (CentOS)
# 経緯
既存の個人サイトをhttps対応にさせたくて、
 - [http://knowledge.sakura.ad.jp/knowledge/5573/](http://knowledge.sakura.ad.jp/knowledge/5573/)
 - [http://weblabo.oscasierra.net/letsencrypt-2/](http://weblabo.oscasierra.net/letsencrypt-2/) 

などを参考に、Let's Encryptの証明書の発行を行ったのち、 


 - `/etc/httpd/conf/httpd.conf`
 - `/etc/httpd/conf.d/ssl.conf`

に証明書ファイルの場所やバーチャルホストの設定を書き加えたのですが、いざapacheを `sudo systemctl restart httpd` としたところ、起動しなくなってしまいました。
```
$ sudo systemctl start httpd

Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.
```

設定ファイルのSyntax errorを疑って `apachectl configtest` としたところ、Syntnax errorで「証明書ファイルが見つからない」と言われたのですが、それは証明書ファイルのあるディレクトリパーミッションが適切ではないことが原因だったようで、それを直して `Syntax OK` となったのですが、まだ起動しません。

ファイアーウォールの設定も、httpsを許可しています。
ログなどを出してみたものの、ググっても解決せずでした。


# ログなど

```
$ systemctl status httpd.service

● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since 土 2017-01-28 03:54:17 JST; 16min ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 1275 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
  Process: 1167 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
 Main PID: 1167 (code=exited, status=1/FAILURE)

 1月 28 03:54:17 150-95-128-75 kill[1275]: kill: cannot find process ""
```


```
$ jounralctl -xe

```
長いので [こちら](https://gist.github.com/shutosg/6ea7dfa27b3a5721ad5a9342cedaa74e) に貼りました。

apacheのログに関しては、最新のところが以下の様に出ております。

```
# httpd_error_log
[Sat Jan 28 03:02:49.229090 2017] [ssl:emerg] [pid 23700] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:03:21.043074 2017] [ssl:emerg] [pid 23755] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:03:59.848238 2017] [ssl:emerg] [pid 1120] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:04:34.333542 2017] [ssl:emerg] [pid 2719] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:06:14.654515 2017] [ssl:emerg] [pid 2796] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:07:55.335009 2017] [ssl:emerg] [pid 2865] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:09:16.934538 2017] [ssl:emerg] [pid 2940] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:11:41.539592 2017] [ssl:emerg] [pid 3020] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:16:12.647846 2017] [ssl:emerg] [pid 3160] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:26:53.674303 2017] [ssl:emerg] [pid 3417] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)

# ssl_error_log
[Sat Jan 28 02:01:15.643699 2017] [ssl:warn] [pid 10363] AH01909: RSA certificate configured for ***:***:***:***:***:***:443 does NOT include an ID which matches the server name
[Sat Jan 28 02:01:15.643699 2017] [ssl:warn] [pid 10363] AH01909: RSA certificate configured for ***:***:***:***:***:***:443 does NOT include an ID which matches the server name
```

エラーメッセージにでている `/etc/httpd/conf/httpd.conf` の419行目ですが、以下のようなディレクティブが続いています。
```
<VirtualHost *:443>
  SSLEngine on
  ServerName my_domain.net
  ServerAlias www.my_domain.net
  DocumentRoot /path/to/my/www/doc/
  CustomLog logs/my_domain-access_log combined
  ErrorLog logs/my_domain-error_log （上述のhttpd_error_logのこと）
</VirtualHost>
```

よろしくお願いします。

サイトをSSL対応させようとしたらapacheが起動しなくなった

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。
```
[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
```


変更前
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定ｈではTLS1.0のみ有効になります。

変更後
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol +TLSv1.2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定では以下のエラーになります。

```ここに言語を入力
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29
```

何卒ご教授頂きたく質問します。

TLS1.2の有効化

IT初心者で基本的なことかもしれませんが、皆様からご教示いただきたいです。

# ご教示いただきたいこと
**「ブラウザによって証明書が有効・無効が異なるのは、どのような原因があるのでしょうか。」**

# 質問の背景
本日「edex.adobe.com」というアドビのサイトへ、初めてアクセスしました。
● Chromeブラウザを使うと、以下のエラーが表示されます。
``` エラー文
この接続ではプライバシーが保護されません
攻撃者が、edex.adobe.com 上のあなたの情報（パスワード、メッセージ、クレジット カード情報など）を不正に取得しようとしている可能性があります。
```

● 一方でSafariブラウザを使うと、問題なくWebサイトへアクセスすることができます。


# 分かっていること
Chromeブラウザでエラーが表示されるのは、
「無効な証明書を使っているから」というのは分かっています。

また、今回のドメインへは初めてのアクセスのため、
ブラウザのキャッシュも関係なさそうです。
（証明書にキャッシュが関係なければご指摘いただけると非常に嬉しいです。）
 
 
どうぞよろしくお願いいたします。

ブラウザによって証明書が無効になるのは、何故でしょうか。

CentOS7でPostfixとDovecotを使いメールサーバーを構築しているのですが、下記「メールサーバーの用途」と「現在の認識」を考慮して、SMTP over SSLとSMTP STARTTLSのどちらを使うべきかを教えてください。
また、下記「現在の認識」について間違いがあればご指摘ください。

ささいなことでも結構ですので、アドバイスいただけると幸いです。
よろしくお願いいたします。

メールサーバーの用途
---
メールサーバーは下記の用途で利用します。
1. ウェブメーラーの利用
自分のみがウェブメーラーを利用してメールのやりとりをします。
2. ウェブサイトのフォーム送信
ウェブサイトの利用者（不特定）がフォームからユーザー情報（ユーザーID・パスワード）を送信します。

なお、
- 通信の「安全性」とメール送受信の「確実性」をバランス良く取り入れたいです。
- ウェブサイトの通信は常にhttpsを利用しています。
- メールサーバーやウェブサイトは全て同一IP上に構築またはプライベートIPで接続されているものとします。
- メールのリレー設定は外部のホストを許可していません。
- ウェブメーラーはRainloopを利用しています。

現在の認識
---
SMTP over SSLとSMTP STARTTLSの特徴は次のように捉えています。
- SMTP over SSL：通信の開始から終了まで暗号化する。
- SMTP STARTTLS：通信の開始から途中までは暗号化せず、メール受信側の環境によって、途中から最後までを暗号化するか平文で送るかが変わる。

上記の特徴から、次のようなことが言えると考えています。
- 通信の安全性から言えばSMTP over SSLの方が安全ではあるが、メールを受信する側がSMTP over SSLに対応していない場合はメールが確実に届くわけではない。
- SMTP STARTTLSはメールを受信する側の環境によっては平文でメールが送信される可能性があるが、メールは相手に届きやすい。

そこで、私は現時点で次のように考えています。
- SMTP STARTTLSを使うべき
- メールに平文で重要な情報を記載しないようにするべき

SMTP over SSLとSMTP STARTTLSのどちらを使うべきか

先日、保険に入ろうと思っていつもお世話になっている保険会社の方に連絡を入れ資料説明等を受けていたのですが、その会社の顧客管理・営業用システムがWebを使ったシステムで、営業マンの方は、私が加入している保険や個人情報などをタブレット端末で確認しながら説明をして下さっていたのですが、ブラウザのurlがhttp://... になっていました。

インターネットには、小型のポケットルータを使って接続しているようでした。

この保険会社に関わらず、これまでにも社内システムをSSL無しで構築されているのをなんどか見たことがあり、その度に見なかったことにして「あっ、察し・・・」ということでそっと離れていくか、話の分かってもらえそうな人であれば「ちゃんとした方がいいと思いますよ」的なことをお伝えしてきたのですが、今回の場合、既に自分がその会社の保険に加入しており簡単にそっと離れていくということもできず、SSLに対応していないことについてどう伝えればよいのか困ってしまいました。

B2Cで公開されているようなサービスでSSL対応していないサービスを目にすることはまずありませんが、このようなインターネットを使う社内システムでSSLに対応していないサービスというのは世の中にたくさんありそうな気がしてぞっとしています。
現にこの保険会社も名前を出せば多くの方が知っている会社だと思います。

私の疑問点として以下の２点です。

１．そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか？
私の答えは「No,問題あり!」なのですが、日本の企業ではかなり多くの会社が社内システムをSSL化していないような気がしてきてむしろ自分の考えが間違っているんじゃないかと思えてきました。(個人情報とか別にSSL化しなくても対して問題ないんじゃないかという気さえしてきました)

私の認識ではSSLへの対応の有無は、その会社の経営の根幹にかかわる重要な問題だと思いますが、そこまで深刻に考えるようなことでもないのでしょうか。

２．１の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか？

こういう場合、一般的にはどのような流れで企業への要望を出すのが正しい姿なのでしょうか。

皆が気づいた時点で実名をあげたり、URLをネットにさらすというのも１つの手段だと思いますが、ちょっと乱暴ですし攻撃者を生む可能性もあるのでこれは方法として少し違うかなと思いました。

制度的な面に関しては、現状では法律などで「○○を扱う場合はSSL対応必須」というような規定はないと思います。
B2C等の一般的なWebサービスであれば外からもわかりますが、社内システムに関しては外部から伺い知ることのできない情報ですのでその会社の方針にゆだねられることになります。

指摘・要望に対する反応も企業によって様々なような気がしますが、同じような経験をされた方がもしいらっしゃいましたらぜひご意見を頂ければと思います。