常時SSL Lab.編集部『突然「保護されていません」と警告が!?Chromeの新しい安全性表示』でも紹介しましたが、今年1月にリリースされた「Google Chrome」のバージョン56から、パスワード/クレジットカード番号など、高いセキュリティが要求されるページがHTTP接続になっているときに、警告を表示する仕組みの適用が開始されました。
当該記事にもある通り、Googleは段階的にセキュリティの強化を進めると予告しており、10月にリリースが予定されているChrome 62から次のステップが適用されると公式アナウンスしています。
Google Security Blog – Next Steps Toward More Connection Security
公式アナウンスは少し前の話になりますが、Chrome 62の提供開始まで3ヶ月に迫った今、改めてどのような変化が起こるのか見ていきましょう。
すべての入力フォームが対象に
Chrome 56でHTTP接続時にセキュリティ警告が表示されるのは、パスワード/クレジットカード番号など入力フォームが存在するページに限定されていました。
高いセキュリティが要求される場合には警告を表示する、というスタンスです。
Chrome 62では、セキュリティ警告を表示する対象が、入力フォームの存在するすべてのページに広がります。
Webサイトの利用者が入力するすべてのデータが、HTTP接続による盗聴や漏洩の危険性にさらされるべきではない、というのが今回のバージョンでのスタンスになります。
パスワード/クレジットカード番号の入力欄がなくても、何らかの情報が入力、選択できるようになっているだけで、保護されていない旨の警告メッセージが表示されます。
意外に見落としがちなところでは、全ページにサイト内検索などのテキストボックスが設置されているWebサイトは、HTTPで接続しているだけで警告の表示対象になります。
シークレットモードではすべてのHTTP接続が対象に
Chromeには、履歴やCookieなどを保存せず、よりセキュリティの高い状態でWebサイトを閲覧するために、「シークレットモード」が用意されています。
Chrome 62からは、シークレットモードの利用者 = セキュリティに対する要求が高い、という図式から、シークレットモードを利用時にHTTP接続でWebサイトを閲覧すると、入力フォームの有無に関係なくすべて警告が表示されます。
ますます待ったなしの常時SSL化
今回、シークレットモードのみですべてのHTTP接続が警告対象になりましたが、いずれ通常のモードでも同様になるのは時間の問題と思われます。
Chrome 56から62までは約9ヶ月の期間がありましたが、次はもっと短いスパンになるかも知れません。
Googleではさらに積極的にHTTPSへの移行を進めて欲しいとアナウンスしています。
1年半くらい前までは常時SSLなんてまだまだ遠い未来の話だろう、と思っていたのに、Chromeの動きを見ているとあっという間に、おそらく来年には常時SSL化していないと恥ずかしい、という状態になることが予想されます。
SSLサーバー証明書も安価になってきており、もう費用面での問題はないはずですので、迷っていないですぐに常時SSL化を実行しましょう。
この記事のポイント
- Webサイトの利用者や検索ロボットを適切にHTTPSに誘導するための設定は必須です
- 作業には細心の注意を払い慎重に実施しましょう
株式会社IDCフロンティア
