ブラウザが自動的に常時SSL化「HTTPS Everywhere」

［目次］

Google Chromeの警告表示の効果もあってか、2017年は世界中の多数のWebサイトが常時SSLに対応してきました。

ただ、常時SSL化したというWebサイトでも、「http://」から始まるURLでアクセスすると、暗号化されていないHTTP接続でそのままアクセスできてしまうものも存在します。

リンク元が「http://」のURLになっていたら、利用者側が気付かずに暗号化のないHTTPで接続してしまっているケースも考えられます。

今回は、そんな時に便利な「HTTPS Everywhere」について解説します。

「HTTPS Everywhere」の概要

「HTTPS Everywhere」はGoogle Chrome、FirefoxなどのWebブラウザの拡張機能(アドオン)として、電子フロンティア財団(Electronic Frontier Foundation)から提供されています。

※ 本ページではGoogle Chromeの画面でご案内します。他のWebブラウザは適宜読み替えてください。
※ 拡張機能(アドオン)のインストール手順は、Webブラウザの公式サイトなどをご参照ください。

この拡張機能をインストール/有効化しておくと、閲覧するWebサイトが「HTTP」と「HTTPS」の両方のプロトコルを利用している場合、自動的にHTTPSで通信して暗号化に対応してくれます。

ただし、HTTPSに対応しておらずHTTP接続しか利用できないWebサイトや、HTTPSの実装に問題がある場合は、「HTTPS Everywhere」が修正するわけではありません。

何も設定しなくても自動的に暗号化の判断をしてくれるのは、以下のルールにあらかじめ登録されているWebサイト(ドメイン名)が対象となります。

このドメイン名は解析タグなど、外からは見えず内部的に利用されている部分にも有効です。

Webサイト自体が登録されていなくても、解析タグなどのドメイン名が登録されていれば、内部的には「HTTPS Everywhere」で自動的にHTTPSで通信します。

「HTTPS Everywhere」を有効にした状態でWebサイトを閲覧すると、登録されているドメイン名に該当する数が表示されます。

ルールに登録されていないWebサイトでもHTTPSへの接続を強制したい場合は、「すべての非暗号化リクエストをブロック」にチェックを入れることで対応可能です。

この項目を設定すると「HTTPS Everywhere」のマークが赤色になり、HTTPSに対応していないWebサイトの場合は、接続すらできません。

また、解析タグなどのソースコードに「http://」のURLが明記してあると、その接続は行われずに機能が利用できないケースがあります。

なお、よく使うWebサイトのドメイン名は、「このサイトへのルールの追加」のメニューから自分で新しいルールを追加することが可能です。

『WPA2の脆弱性「KRACK」対策で常時SSLサイトがますます選ばれる』でご紹介したように、安全な通信経路だと思っていたものが、ある日突然危険にさらされることがあります。

でも「HTTPS Everywhere」を利用しておけば、自前でとりあえず最低限の安全は確保することが可能です。

今後、常時SSL化が世界的に進み、いずれ「HTTPS Everywhere」のような機能も不要になるでしょうが、それまでは自衛策として有効活用してはいかがでしょうか。