サーバ証明書を発行しているベリサインでは、http://www.verisign.co.jp/securesite/secured-seal.html に書かれているような「シール」を発行している。
サイト上にこのシールを貼ることで、サイト閲覧者が「あぁ、ここはベリサインの認証を通った本物のサイトだな」と確認できる……というものだが、ブラウザの設定で
のいずれかをやっていると、このシールはちゃんと働かない。
シールの仕組み
サイト管理者は、ベリサインが提供するスクリプトへのリンクをページ内に埋め込む。このスクリプトが「シール」の Flash または GIF をページ内に埋め込むと同時に、クリックされたらサーバ情報のページが開かれるように処理を追加する仕組みになっている。
この時、そのドメインがベリサイン発行のサーバ証明書を使っていない場合は、空の内容が返され、シールは表示されない。
したがって、サイトを見る側では、
- シールの Flash または GIF が表示されたこととを確認する
- シールの URL が正しい (具体的には、https://seal.verisign.com/ で始まっている) ことを確認する
- シールをクリックしてサーバ情報のページを開き、今見ていたサイトのドメイン名と一致していることを確認する
Referer ヘッダを無効にすると
ベリサインが提供しているスクリプトや Flash or GIF は、Referer ヘッダの値が正しくない場合、空の内容を返すようになっている。なので、本物のサイトからスクリプトをコピーするなりして偽サイトに貼り付けても、シールは表示されない。
しかし、ブラウザやプロキシの設定で Referer ヘッダを無効にすると、上記のチェックは行われず、シールは表示されてしまう。
なにか問題があるか?
このシールの目的が、そもそもセキュリティの確保とかじゃなくて「ベリサインのブランドで閲覧者を安心させる」というものなので、正直どうでもいい。