2006年1月22日(日) 23時59分00秒 [Web関連]

SSLセキュリティ証明書の警告ダイアログ

Amazon.co.jpのアソシエイト管理ページにログインしようとしたら、SSLのセキュリティ証明書に関する警告ダイアログが出てきました。
どうやら、証明書にあるドメイン名と、実際にアクセスしようとしているドメイン名が異なるよ、という警告のようです。
（ちなみに、ブラウザは、Firefox。）

こういう警告が出た場合、「セキュリティ証明書って何？」ってなユーザはネット上にたくさん居ると思うんですけど、多くのユーザはどういう行動を取るんでしょうね？
「何かよく分からんけどOKしとこう。」と思うのか、「何か不安だからキャンセルしとこう。」と思うのか。

統計を取ったわけでも実験をしたわけでもないのですけど、私が今まで会ってきた初心者の方々は、ダイアログ右上の「×」ボタンをクリックしようとすることが多かった気がします。OKボタンでもキャンセルボタンでもなく。「よく分からんから消そう」という考えなんだろうと思うんですけどね。

まあ、「×」をクリックすれば、操作はキャンセルされるわけだから、安全側な処理になるということでいいと思うんだけど、そうすると、一向に目的は達成できない（＝アクセスできない）わけですけど。
もちろん、この場合は、悪いのはユーザではなく、サイト運営者側ですけどね。

ところで、この場合、ドメイン名だけから判断すれば、証明書の associates.pilot.amazon.co.jp も、実際にアクセスしようとしている associates.amazon.co.jp も、どちらも amazon.co.jp 配下にあるわけだから問題はないと判断するのは、あってる？間違ってる？
証明書を見ると、 associates.pilot.amazon.co.jp の証明書としては有効なことが分かるわけだけど。

いや、これが amazon.co.jp じゃなくて、geocities.co.jp みたいな、いろんな人のWebが集まってるドメインとか、もしくは自分の全然知らないドメインだったら別だけど、amazon.co.jp については、今までの使用経験から、そういう（＝様々な運営者が運営するWebが存在する）ドメインではないということは分かってるわけだから。

どうでしょう？

ちなみに、Internet Explorer6の場合の警告は右図のようなもの。詳細は「証明書の表示」をクリックしないと分かんないけど、先のFirefoxの警告を読んで、何のことだか分かんない人々には、分かりやすくなってるかも…。
デフォルトのボタンが「いいえ」になってますね。これはこの方がいいと思います。Firefoxでは「OK」がデフォルトだったので、思わずEnterを押しちゃう可能性はあると思いますから。