Google Chromeがhttpサイトに対する警告を強化へ

Google Chromeがhttpサイトに対する警告を強化へ

2017年4月27日、Google Chromeは常時SSL化(https)されていないhttpページへのセキュリティ警告を更に強化すると発表しました。

今年10月にリリースを予定しているChrome 62では、パスワードやクレジットカード情報だけでなく、ユーザーがサイト上で何らかの文字列を入力すると【Not secure】と表示されます。日本語表記はまだ不明です。

画像:Chromium Blogより

また、サイト閲覧履歴などを残さないシークレットモードでのブラウジングでは、全てのhttpページに【Not secure】の警告が表示されます。そもそもシークレットモードは他人にブラウジングの内容を見られないようにするための目的があります。しかし、http通信では他人に対しても見えてしまうことから警告が1段階強くなるようです。

クリニック・診療所のホームページもお問い合わせ欄があったり、他人に知られたくない診療科目もありますので他人事ではないかと思います。

Googleによる公式発表(英文)
https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

ITmediaによる解説(日本語)
http://www.itmedia.co.jp/enterprise/articles/1704/28/news069.html

CNETによる解説(日本語)
https://japan.cnet.com/article/35100589/

ちなみに、ITmediaの記事URLはまだhttpですね(2017.05.02現在)。ITmediaの肩を持つ訳ではありませんが、httpからhttpsへの移行は非常に大変です。ITmediaも現在、https(常時SSL化)へ移行している途中なのではないでしょうか。

日本で一番大きなサイトであるYahooも順次https(常時SSL化)へ移行しています。今年に入ってからYahooトップページとYahooニュースはほぼ常時SSL化が完了したようです。外部ユーザーもページ編集を行うYahooブログやヤフオクなども修正しないといけないので、変更の作業量は膨大なものになると想像できます。

これだけ大変な作業をYahooが行うことからも常時SSL化(httpからhttpsへの変更)が如何に重要であるかがお分かりかと思います。体力がない企業はできません。

一方、最初から常時SSL化させたサイトを作成することは、全く大変ではありません。httpのサイトを作るのと作業量は同じです。更に以前までSSLは有料でしたが、現在は無料です。常時SSL化については2014年3月では8%でしたが(正確にはhttpsでのリクエスト割合)、2017年3月の時点で42%にまで急増しています[HTTP Archiveより ]。その背景にはSSL証明書の無料化があります。

ネットでの買い物やネット銀行の利用が広まりつつある状況で、なりすまし・サイト改ざん・パスワードの盗聴などが問題になってきています。そこで2014年11月にElectronic Frontier Foundation(EFF)が主体となってSSL証明書を無料・自動発行するLet's Encryptプロジェクトが発足しました。現在のスポンサーはEFF、Google Chrome、facebook、mozilla、CISCO、Akamai、アメリカ図書館協会などです。

画像:Let's Encryptより

Let's Encryptのホームページ
https://letsencrypt.org/

2016年には日本国内の大手レンタルサーバー業者も相次いでLet's Encrypt証明を発行するようになりました。これにより、5分くらいの手間でhttpsを導入することが可能となりました。

この状況でもクリニック・診療所やその他ジャンルを含め、ホームページ制作会社の中には未だにhttpで新規サイトを製作しているところがあります。クリニックのサイトにお問い合わせ欄など、文字を入力するページがある場合は今年10月から警告が出てしまいます。新規だけでなく、サイトリニューアルの場合も手間はかかりますが、httpsに変更すべきです。

今までの傾向では、FireFox、Internet Explorer、Safariなど主要ブラウザも同様の対策を追従しています。近い将来、httpページは全てのページに警告が表示される可能性が高いと思われます。

最初の画像:Chromeホームページより