常時SSL Lab.編集部本記事には古い情報が含まれている可能性があります。
2019年9月以降、各ブラウザのEV証明書のアドレスバー表示は変更されており、
本記事に掲載されている表示とは異なっている場合がありますので、ご注意ください。
[目次]
7月24日(日本では25日から)、「Chrome 68」バージョンアップが適用され、「http://」で始まるすべてのWebサイトで「保護されていない通信」という警告が表示されるようになりました。
まだ常時SSL化していないサイトは、早急に対応する必要があります。
さらに「Chrome 68」以降は、HTTPサイトの表示がまた大きく変わる予定です。
そこで今回は「Chrome 68」以降のアップデートで、今後のサイト表示がどう変わっていくのかについてご紹介していきたいと思います。
■常時SSLラボの「Chrome 68」関連記事はこちら
いよいよGoogleが本気。Chrome 68から全HTTPサイトに警告!
常時SSL(https)化はマストになった!Chrome 68、Chrome 70でWebサイトはどうなる?
Chrome 69、70で表示はどうなる!?
Googleは「セキュリティは最優先事項」として、これまでセキュリティ強化を段階的に行ってきましたが、これからも継続して、HTTPのサイトに対しては警告表示を強調していくという公式アナウンスを出しています。
■Chromium Blog
Evolving Chrome’s security indicators
「Chrome 69」での表示
次期アップデートの「Chrome 69(9月リリース予定)」からは、HTTPSサイトで表示される「保護された通信」の緑の文字表示と、「https://」というスキーム(*1)の削除を行うとしています。
また、鍵マークは緑ではなく灰色に変更されます。
今後は、Googleとしては常時SSLになっていることが当たり前(普通の状態)であるとし、HTTPSサイトの特別なラベルやマークを減らしていく方向性のようです。
Googleの常時SSL化推進の動きも、いよいよ大詰めに入ってきた感じがします。
(*1) インターネット上の所在を表すURI(URL)の先頭部分のこと
「Chrome 70」での表示
「Chrome 70(10月リリース予定)」からは、HTTPのサイトでフォームなどにデータ入力が行われると、赤色で「保護されていない通信」という警告表示が出るようになると発表しています。
今までもデータ入力で警告は表示されていましたが黒文字での表示に留まっており、これがついに赤色となると、対応できてないサイトは否が応にも目立つことになります。
Googleのセキュリティ強化の経緯とこれからの予定
これまで影響の大きかったGoogleのセキュリティ強化の対応と、公表済みのこれからの対応予定を改めてまとめると以下のようになります。
| 2010年5月 | Google検索にSSLを試験的に導入。以後、SSL検索を正式に導入。 | |
|---|---|---|
| 2014年8月 | 検索結果でHTTPSサイトを優遇するようにランキングシグナル(順位付けの要因)にHTTPSを採用 | |
| 2015年12月 | HTTPSページを優先的にインデックスすることを発表 | |
| 2017年2月 | Chrome 56 | HTTPサイトでID・パスワードやクレジットカード番号の入力フォームがあるページでデータ入力が行われた場合、警告表示を開始 |
| 2017年10月 | Chrome 62 | HTTPサイトで入力フォーム(問合せやサイト内検索なども対象)があるページでデータ入力が行われた場合、警告表示を開始 |
| 2017年12月 | Chrome 63 | ChromeによるFTP接続で警告表示を開始 |
| 2018年7月 | Chrome 68 | すべてのHTTPサイトで警告表示を開始 |
| 2018年9月 | Chrome 69 | HTTPSサイトの「保護された通信」という緑の文字表示と HTTPS スキーム「https://」の削除を開始(予定) |
| 2018年10月 | Chrome 70 | HTTPサイトでデータ入力が行われた場合、赤色の警告表示を開始(予定) |
| 近い将来 | Chrome ?? | 最終的に鍵マークをなくす(予定) |
2010年にいち早くGoogleは検索エンジンにSSLを導入し、自社サイトの常時SSL化を行いました。
また、2017年からはHTTPサイトでの警告表示を開始してきました。
そして、2018年の7月~10月は、3バージョン続けて常時SSL関連のセキュリティ強化を行うことが公表されています。ここに来て急速に常時SSL化を推奨する姿勢を強めてきました。
さらにGoogleは、上の公式アナウンスでも触れているように、近い将来HTTPSのときは特別な表示を一切出さないようにする(鍵マークすら表示させない)と公表しています。
これから常時SSL化が普及し、HTTPSのサイトが当たり前(標準)となると、わざわざサイト上で特別な表示をして安全性を示す必要はなくなるだろうという考えによるものでしょう。
このままセキュリティ強化が進んでいくと、対応できているサイトは標準的なブラウザの見た目となり、対応できていないサイトは赤色の「保護されていない通信」警告が常に表示されるようになるかもしれません。
Chrome 70でも実装される赤色の警告は、サイト利用者に不安感を与え、サイトからの離脱率増加やコンバージョン率(お問い合わせに至る率や商品の購入率等)の低下を招くほど充分なインパクトがあります。
また、企業ブランドや会社・組織の信頼低下を引き起こすリスクも高まります。
今後はChromeだけでなく、FirefoxやSafariといった他のブラウザもセキュリティ強化が追随して行われていくと思われますので、WEB運営者は早くサイトを常時SSL化させることが大切です。
Chrome69、70対策だけではない!常時SSL化することのメリット
サイトを常時SSL化することは、何もこういったGoogleのセキュリティ強化の動きに同調して、仕方なく行わなければいけないネガティブなことばかりではありません。他にも常時SSL化するメリットはたくさんあります。
例えば常時SSL化することで、ログ解析の精度が上がったりサイト表示速度が早くなったりといったメリットがあります。
詳しくはこちらの記事でメリットの紹介をしています。
常時SSL(https)化はマストになった!Chrome 68、Chrome 70でWebサイトはどうなる?
また近年、不正アクセスによるWEB改ざんや、フィッシングサイト・なりすましによる被害拡大も加速しており、被害を未然に防ぐためにも、SSLサーバー証明書を導入するケースが増えています。
最近は「Zenlogic ホスティング」のように無料SSLサーバー証明書を提供しているサーバーも増えてきました。
SSLサーバー証明書の導入ハードルは、以前に比べて格段に低くなってきていますので、常時SSL化がまだの方は是非導入を検討していってみてください。
この記事のポイント
- Chrome 69、Chrome 70以降は、常時SSL化しているかどうかでアドレスバーの表示が大きく変わる。
- 今後は常時SSL化していることが当たり前の時代に。していない場合は警告が強調されるように。
- 最終的に、HTTPSサイトのアドレスバー表示は、特別な表示が一切ないシンプルな見た目になっていく。
株式会社IDCフロンティア
