Chrome 68から全HTTPサイトに警告!
2018年2月8日に発表されたGoogle Chrome 68に関する公式リリースを見ていくことにしましょう。
Google Chrome セキュリティ強化の経緯
Googleはこれまで、「セキュリティは最優先事項」として、警告表示の段階的な開始など、さまざまな動きを見せてきました。
利用者にとって影響のありそうなところでは、以下のようなものが挙げられます。
2010年 自社の検索サイトのSSL化
Search more securely with encrypted Google web search
2014年 検索結果でHTTPSサイトを優遇
HTTPS をランキング シグナルに使用します
2017年 Chrome 56 HTTPサイトでパスワードやクレジットカード番号の入力フォームがある場合のみ警告表示開始
Moving towards a more secure web
2017年 Chrome 62 HTTPサイトで入力フォームがある場合すべて警告表示開始
Chrome の HTTP 接続におけるセキュリティ強化に向けて
2017年 Chrome 63 ChromeによるFTP接続で警告表示開始
Chrome 68(2018年7月リリース予定)からHTTPサイトというだけで警告表示
これまでの一連の流れの中で、2018年7月リリースの「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するという公式アナウンスがありました。
A secure web is here to stay
Chrome 68
Chrome68からは、「http://」で始まるすべてのWebサイトで、警告が表示されるようになります。
上記のリリースにもあるように、Webサイトの常時SSL化によって、かなりのトラフィックが安全にやり取りできるようになってきています。
Over 68% of Chrome traffic on both Android and Windows is now protected
(AndroidとWindowsの両方でChromeトラフィックの68%以上が保護されています)
Over 78% of Chrome traffic on both Chrome OS and Mac is now protected
(Chrome OSとMacの両方でChromeトラフィックの78%以上が保護されています)
81 of the top 100 sites on the web use HTTPS by default
(ウェブ上の上位100サイトのうち81がデフォルトでHTTPSを使用)
ただ、大手サイトを見てもまだ常時SSLに対応していないところもあり、Googleとしてはもどかしい思いがあるのかもしれません。
今回は「保護されていません」というテキストだけの表示ですが、HTTPサイトを排除しようとしているGoogleの本気度からすると、将来的には「http://」のURLというだけでアドレスバーが赤くなるなどの対策をしてくるかもしれません。
対応していなければ、Webサイトが表示されただけで「保護されていません」が表示される恥ずかしいことになってしまいます。
今なら無料の独自SSLサーバー証明書で費用をかけずに常時SSLに対応することができますし、ZenlogicのようにワンタッチでSSLサーバー証明書を標準設定できる機能を備えたサーバーもあります。
できるだけ早く、Webサイトを常時SSLに対応させましょう。