常時SSL Lab.編集部常時SSL Lab.ではすっかりお馴染みになった感のある、Google Chromeのセキュリティ警告「保護されていません」の表示。
2017年10月公開 Chrome 62「保護されていません」アドレスバー表示の実際
2016年12月公開 突然「保護されていません」と警告が!?Chromeの新しい安全性表示
これらの記事では、「将来的にはHTTP接続というだけで警告表示になる」という予測を紹介していましたが、それがいよいよ現実のものになろうとしています。
今回は、2018年2月8日に発表されたGoogle Chrome 68に関する公式リリースを見ていくことにしましょう。
Google Chrome セキュリティ強化の経緯
Googleはこれまで、「セキュリティは最優先事項」として、警告表示の段階的な開始など、さまざまな動きを見せてきました。
利用者にとって影響のありそうなところでは、以下のようなものが挙げられます。
| 2010年 | 自社の検索サイトのSSL化 Search more securely with encrypted Google web search |
|---|---|
| 2014年 | 検索結果でHTTPSサイトを優遇 HTTPS をランキング シグナルに使用します |
| 2017年 | Chrome 56 HTTPサイトでパスワードやクレジットカード番号の入力フォームがある場合のみ警告表示開始 Moving towards a more secure web |
| 2017年 | Chrome 62 HTTPサイトで入力フォームがある場合すべて警告表示開始 Chrome の HTTP 接続におけるセキュリティ強化に向けて |
| 2017年 | Chrome 63 ChromeによるFTP接続で警告表示開始 |
Chrome 68(2018年7月リリース予定)からHTTPサイトというだけで警告表示
これまでの一連の流れの中で、2018年7月リリースの「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するという公式アナウンスがありました。
Chrome68からは、「http://」で始まるすべてのWebサイトで、警告が表示されるようになります。
上記のリリースにもあるように、Webサイトの常時SSL化によって、かなりのトラフィックが安全にやり取りできるようになってきています。
- Over 68% of Chrome traffic on both Android and Windows is now protected
(AndroidとWindowsの両方でChromeトラフィックの68%以上が保護されています)- Over 78% of Chrome traffic on both Chrome OS and Mac is now protected
(Chrome OSとMacの両方でChromeトラフィックの78%以上が保護されています)- 81 of the top 100 sites on the web use HTTPS by default
(ウェブ上の上位100サイトのうち81がデフォルトでHTTPSを使用)
ただ、大手サイトを見てもまだ常時SSLに対応していないところもあり、Googleとしてはもどかしい思いがあるのかもしれません。
今回は「保護されていません」というテキストだけの表示ですが、HTTPサイトを排除しようとしているGoogleの本気度からすると、将来的には「http://」のURLというだけでアドレスバーが赤くなるなどの対策をしてくるかもしれません。
常時SSL Lab.では、Chromeの進化を紹介するたびに「常時SSL化 待ったなし」と言い続けてきましたが、今回は本当に待ったなしです。
対応していなければ、Webサイトが表示されただけで「保護されていません」が表示される恥ずかしいことになってしまいます。
今なら無料の独自SSLサーバー証明書で費用をかけずに常時SSLに対応することができますし、ZenlogicのようにワンタッチでSSLサーバー証明書を標準設定できる機能を備えたサーバーもあります。
7月まであと半年を切っていますが、「まだまだ先でしょ」と思わずにできるだけ早く、Webサイトを常時SSLに対応させましょう。
この記事のポイント
- 「Chrome 68」から、すべてのHTTPサイトで「保護されていません」が表示される
- もう実施まで半年を切っており、Webサイトの常時SSL化は本当に待ったなしの状況
株式会社IDCフロンティア
