Googleのセキュリティブログが9月8日に発表した内容によると、今後HTTP接続には警告が表示されることがわかった。
具体的には、Chrome(バージョン56 : 2017年1月リリース予定)から、HTTP接続のサイトで、「パスワード」、「クレジットカード情報」を含むものについて、アドレスバーのところに警告アイコンが表示されるようだ。
▼表示される予定のChromeのアドレスバー
(上が現在のChrome53、下が1月リリース予定のChrome56)
今後は「パスワード」、「クレジットカード」に限らず、広くHTTP通信には警告が表示されることも予想される。
HTTPS化に対応していないサイトは年内を目標に対応することをおすすめする。
Googleセキュリティブログ 全文訳
ユーザーがWebブラウザを安全に使えるようにするため、Chromeはアドレスバーにアイコンで接続セキュリティを表示する。これまでChromeは安全でなくても、HTTP接続に特に表示はしなかった。2017年1月(Chrome 56)からGoogleでは、安全でないすべてのHTTP接続サイトをマークする長期計画の一部として、安全ではないパスワードやクレジットカード情報を送るHTTPサイトをマークすることになった。
Chromeは現在、中立的な指標でHTTP接続を示している。これはHTTP接続において安全性が不足しているという事実を反映していない。ユーザーがHTTPの上のWebサイトを読み込む時に、情報がユーザーに届く前にネットワークの他の誰かがそのサイト閲覧したり、修正できうる。
Webトラフィックの大部分はこれまでにHTTPSに移行させ、HTTPSの利用が現在も増えている。Googleでは、現在HTTPS上に提供されたChromeデスクトップページ読み込みの半分以上でマイルストーンを打ってきている。さらに、2月にGoogleがHTTPSレポートをリリースしてから、トップ100中の12以上のWebサイトが、デフォルトページ指定をHTTPからHTTPSに変更してきた。
これまでの研究で、ユーザーが警告としての「安全」アイコンの不足に気づいていのだけれども、頻繁に警告が表示されると気にしなくなるということが分かった。HTTPサイトにより分かりやすく安全でないというラベルを正確に貼る計画は、より厳格な標準に基づき段階を踏んで徐々に行う予定だ。2017年1月にスタートするChrome 56は、「安全でない」パスワードやクレジットカード情報を含むHTTPページにラベルを貼り、特に機密性が与えられる。
後続のリリースとしては、例えば、よりプライバシー高いを持つユーザーが匿名モードで「安全でない」とされるHTTPページをラベルを付けて分類することなどにより、GoogleがHTTP警告を広げていく。最終的には、すべてのHTTPページに安全でないというラベルを貼ることを予定しており、壊されたHTTPSページにはHTTPセキュリティマークを、赤い三角形の警告マークに変える。Googleは、HTTPSに変わっていくことを待たずに、将来のリリースに近づくにつれこ計画をアップデートする。HTTPSはこれまでよりも簡単で安価になり、Webが提供するパフォーマンスをベストにもできる。Googleのセットアップガイドをチェックして始めよう。