ウェブサイト利用者が自分でhttps://を加えるだけでページは暗号化されるものですか？

ある会社のオンラインクラスを受講するためにその会社のサイトで登録と支払いをしたいのですが、登録のために個人情報とクレジットカード情報を入力するページのアドレスバーが"Not Secured（保護されていない）"となっています。
そのため、その会社に「カード情報を入力したくないので他の支払い方法はないか」とメールで問い合わせをしました。
すると、クレジットカード払い以外受けてないので、「wwwの前にhttps://とマニュアルで入力してください。（アメリカの会社なので実際には英文で"A person would have to manually enter in https:// before the www."）」と返信がきました。
自分で（ウェブサイト利用者側が）https://と入力するだけで、サイトは暗号化され、クレジットカード情報などを入力しても大丈夫になるのでしょうか？
ちなみに、その会社自体は何人もが利用し、何十年も実在する会社ですが、サイトはドメイン認証 (DV) になっています。
詳しい方、教えてください。

質問者からの補足コメント

• 補足です。”ウェブサイト利用者が…”と書きましたが、ウェブサイト訪問者ということです。ウェブサイト管理者ということではありません。
  よろしくお願いいたします。

    補足日時：2019/03/12 08:06

No.3 ベストアンサー 回答者： k-841 回答日時： 2019/03/12 16:43

結論から言えば、アドレスバーに「

https://www......」と入力して、普通にページが表示されれば大丈夫です。

普通にページが表示されるということは、次の意味があります。
・接続先のサイトはHTTPSという暗号通信をサポートしていて、今まさに表示されているページは暗号通信によって送られてきた
・これから送るクレジットカードの情報も、（きっと）暗号通信により送られる
・ブラウザ上でセキュリティの問題が表示されないということは、そのサイトが持っている証明書は然るべき認定機関から発行された信頼できるものである、つまりそのサイトは偽物ではない（アドレス打ち間違いとか、紛らわしいアドレスに誘導されてしまった場合はその限りではないですが）
・表示されているページの内容は、確かにそのサイトから送信されたデータそのものである

気になるのは2番目の「（きっと）」だと思いますが、これはページに埋め込まれた「送信」ボタンを押したときに、違うサイトに飛んだり暗号じゃない通信になってしまったりというページを作ることが仕組み上できるようになっているからです。常識的な運営者が開設しているサイトではそんなことはまずないと思いますが、怪しいサイトではちょっと身構えた方がいいかもしれません。

この回答へのお礼

詳しくご説明いただきありがとうございます。大変勉強になります。
httpsと入力して普通にページが表示されたので、早速そのサイトで登録手続きをして、オンライン講座にアクセスできるようになりました。カード請求は正しくされているか明細が届いたらきちんと確認するようにします。ただ、登録の返信メールに私が設定したログイン名とパスワードがばっちり表示されていて（さすがにカード番号はXXXとなっていましが）、ちょっとあせりました。パスワードがメールに表示されているって違和感があるのですが、特に問題はないでしょうか？追加の質問になり申し訳ないのですが、教えていただけると助かります。

お礼日時：2019/03/12 17:16

No.5 回答者： naokita 回答日時： 2019/03/12 20:13

そのサイトは不親切なサイトですね。

本来は、SSLの決算サイトに強制転送（301リダイレクト）するべきです。

まあ、URLがhttpsで鍵マークが出ていれば大丈夫です！
（httpsであっても鍵マークが正常に表示されていなければ、SSL証明書の期限切れですから無意味です。ブラウザやセキュリティソフトが注意/遮断してくれる場合もあります）
それらSSLが問題なければ、通信上では大丈夫です。
（そのSSL証明書を発行している企業にも上位下位の違いはあります）


いや、でもですね、
大手企業のサイトも一般的な通販サイトも、10年以上前からSSLを利用していますが、個人情報の漏洩は多々ありますよｗ（ニュースになっていますよね）

また、詐欺のフィッシングサイトだって、本サイトを真似てSSLにしているでしょうから、
SSLが云々というよりも、その運営者自体や個人情報の管理体勢の方が大問題です。
実は、ハッカーは大企業を狙うので（大量の情報があるからでしょう）、意外と中小企業の方が安心かもしれませんね・・・
なので、
SSL云々はそんなに大事じゃないのです・・・
ここ何年かの流れで、フォーム（情報入力）以外の一般的なページでも、SSLを推奨していますが、実は全く不要です・・・　みなさん神経質になり過ぎ。

まあ、対策としては、クレカ決算を行わなければ問題も起きない。
とはいえ、自分もクレカ決算を行っていますが、海外通販ではサブのクレカを利用しています。
毎月のクレカの利用明細書を必ず確認する事（不正利用なら返金してくれます）

----
メールの内容に個人情報：
これは、IDやPWを忘れる人が非常に多いからですね・・・

No.4 回答者： k-841 回答日時： 2019/03/12 18:46

No.3です。

＞パスワードがメールに表示されているって違和感があるのですが、特に問題はないでしょうか？

あるかないかという話で言えば、あると思います。
一般的にサーバ間のメールの配送では暗号化がなされていないため（暗号通信機能もありますが、メールサーバ間の通信ではあまり普及していません）、途中にあるメールサーバや通信経路の中で盗み見られる可能性はあります。また、メールのアーカイブと言って、通過したメールをすべて保存するような機能を持ったサーバも世の中にはあります。

最悪のケースは、1通のメールの中にログイン画面のURLと、そこに入力するIDとパスワードが書いてある場合、つまりその1通のメールを入手しさえすればその人に成りすましができてしまうだけの情報が載っている場合です。ここら辺は、詳しい説明は必要ないですよね。

パスワード付きZIPファイルがメールに添付されているような場合は、ファイル本体とは別便のメールで解凍パスワードが送られてくるようなことがあると思います。これは、少なくとも錠前と鍵が別便のメールになっているので、添付ファイルのメール、パスワードのメールのいずれか1通を入手しても、その添付ファイルの中身を見ることができないようにするためにそうしているのです。

この回答へのお礼

すごく分かりやすく説明したいただきありがとうございました。よく理解できました。

お礼日時：2019/03/13 06:09

No.2 回答者： lowrider_2005 回答日時： 2019/03/12 10:44

サーバ側でSSLの設定がしてるならhttps://で接続すれば、PC～サーバ間では暗号化されます。

SSLの主な目的は
・盗聴の防止
・改ざんの防止
・なりすましの防止
ですが、その会社が名実ともに存在して実績もあるのであればドメイン認証でも問題ないでしょう（多くの場合はDVです）。
そこまで調査されているのであればサーバ証明書の発行者やサブジェクトもおわかりなのでしょうから、それらに問題がなければ大丈夫でしょう。

ただし、その会社（の社員など）が情報を流出させたとかハッキングされたとかに関しては無力です。

この回答へのお礼

詳しくご説明いただきありがとうございます。
いろいろ自分なりに検索してたのですが、回答がみつからなかったので助かりました。
日本語で検索していてみつからなかったので、英語で検索していたらいただいた回答と同じ内容が記載されているページをみつけたのですが、それもどこまで信用していいのかわからなかったので、いただいた回答で確認ができてよかったです。
早速そのサイトで登録手続きをしたのですが、返信メールにログイン名とパスワードがばっちり表示されていて（さすがにカード番号はXXXとなっていましが）、セミナー自体はとても評判のいい会社なのですが、セキュリティー面が少々心配です。。

お礼日時：2019/03/12 11:38

No.1 回答者： lv4u 回答日時： 2019/03/12 07:30

＞＞自分で（ウェブサイト利用者側が）https://と入力するだけで、サイトは暗号化され、クレジットカード情報などを入力しても大丈夫になるのでしょうか？

当然ですがサイト側で、暗号化処理のプログラミングがされていないとダメですね。
サイト側で、httpsとなっていたら、暗号処理を行うように作ってあるのだと思いますよ。