HTTPSなのに「保護されていない通信」と表示される

あるWebサービスをリリースしました。
Let's encryptでSSL化してHTTPSもばっちりでした。
Chromeのアドレスバーを見るとちゃんとSSLの証明書が有効になっていました。

それからしばらくして、そのWebサービスをGoogleで検索しました。
そのWebサービスのトップページはちゃんとGoogleにインデックスされているようで、検索結果にはWebサービスのタイトルが表示されていました。

（省略されました）

CSRFとは？

CSRF（クロスサイトリクエストフォージェリ）とは、悪意のあるサイトにユーザーを誘導し、そのサイトから悪意のあるリクエストを別のサイトに送信する攻撃手法です。
「フォージェリ」とは「偽造」という意味です。

つまりCSRFは「別のサイトへのリクエストを偽造する」という意味になります。

CSRFのストーリー

（省略されました）

クロスサイトスクリプティング（XSS）とは？

クロスサイトスクリプティング（XSS）とは、動的Webサイトの脆弱性を利用し、サイト閲覧ユーザーに任意のスクリプトを実行させ、個人情報などを奪い取る攻撃手法です。

動的Webサイトとは？

動的Webサイトとは、TwitterやFacebook, 掲示板のようにユーザーの入力をコンテンツとして表示するサイトのことです。
たとえば掲示板の場合は、ユーザーの投稿が掲示板上に表示されます。

（省略されました）

Webのセッションとは？

Webにおけるセッションとは「ユーザーごとに行われる一連の処理の流れ」のことを指します。
例えばネットショッピング。
ネットショッピングは↓のようなセッションです。

1. ログインする

2. 商品をカートにいれる

3. 注文する

Webでは↑の1, 2, 3の流れのことをセッションと言います。
ちなみにWeb解析のセッションとは違う意味で使われます。

（省略されました）