常時SSL Lab.編集部『サイト内検索にも警告が?Chromeが10月にさらにセキュリティ強化』のように、Googleは常時SSLへの対応をどんどん進めていっています。
これまでGoogleは、常時SSLに関するメッセージをWebサイトなどで発信していましたが、10月のセキュリティ強化を目前に控え、「Search Console(サーチコンソール)」経由でさらに一歩踏み込んだアクションを起こしてきました。
今回はその内容を簡単にご紹介します。
「Search Console(サーチコンソール)」のメッセージ
「Search Console(サーチコンソール)」は、Webサイト管理者には一般的なツールで、Googleの説明では「検索結果でのサイトのパフォーマンスを監視、管理できる Google の無料サービス」です。
このツールに、8月下旬ごろ、1通のメッセージが届きました。
件名 : Chrome のセキュリティ警告を http://support.fsv.jp に表示します
2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。
貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type=”text” >、< input type=”email” > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。
Googleのクローラー(Webサイトをスキャンするプログラム)がWebサイトを見たところ、Chrome 62以降ではエラーが出てしまいますよ、という警告です。
入力フォームが存在するのにHTTPで接続している、という内容で、今回警告を受けたWebサイトには、サイト内検索用の検索窓が全ページに設置されていました。
このままでは10月以降、「保護されていません」という表示が出てしまうことになります。
企業のWebサイトなのに「保護されていません」というのは、信頼性にも関わる問題なので解決が必要です。
Googleの示す解決策とは…
この問題の解決方法が「Search Console(サーチコンソール)」同じメッセージ内に記述されています。
HTTPS に移行する
貴サイトを訪れた Chrome ユーザーに対して、「保護されていません」という警告が表示されないようにするには、ページを HTTPS で配信し、ユーザーが入力した情報のみが収集されるようにしてください。
至極わかりやすい答えですよね。個人情報やパスワードなどの重要な情報の有無にかかわらず、入力フォームを設置したければ、Webサイトを常時SSLに対応しなさい、ということです。
このメッセージの付近には、
長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。
とありますので、将来的には入力フォームなどが無くても、HTTP接続で提供されるすべてのWebサイトが警告の対象になるのは間違いないと思われます。
その時になって慌てることがないように、一刻も早く常時SSLに対応しましょう。
※ ちなみにファーストサーバでは、上記の警告が出たものを含むほとんどのWebサイトを「Zenlogic」に移設し、常時SSLへの対応が完了しています。
この記事のポイント
- 10月の Chrome 62 リリースを前に、Search Console(サーチコンソール)経由でメッセージを発信してきた
- 今回は入力フォームがある場合に警告されたが、将来はHTTP接続なだけで対象となるはず
株式会社IDCフロンティア
