Tutorials Brawte nfaq 0 Comments

Google Chrome のアップデートにより、数週間以内に HTTP のみのサイトが安全でないと表示される

Table of Contents

Google Chrome のアップデートにより、数週間以内に HTTP のみのサイトが安全でないと表示される

期限が迫っており、残り3週間を切ったことで、暗号化されていないウェブサイトを訪問したGoogle Chromeユーザーには警告が表示されることになる。

ゲーム・オブ・スローンズの隔壁が恥の鐘を鳴らす

7月からChromeは安全でないHTTPウェブサイトを公表し非難する

続きを読む

これらの変更は、7月23日にChrome 68の安定版アップデートがリリースされた時点で適用されます。それ以降、有効なTLS証明書を使用してHTTPSで接続されていないウェブページには、Chromeのアドレスバーに「保護されていません」という警告が表示されます。この警告は、インターネットに接続しているウェブサイトと、ブラウザ市場の約60%のシェアを占めるChrome経由でアクセスする企業/個人のイントラネットサイトの両方に適用されます。

SSL証明書会社DigiCertは火曜日に調査結果を発表し、Alexa上位100万サイトの43%がデフォルトでHTTPSを使用していることが明らかになりました。一方、W3Techsの6月の調査では、上位1000万ウェブサイトのうち35.6%がHTTPSをデフォルトプロトコルとしていると報告されています。小規模でアクセス数の少ないサイトの多くは、依然としてHTTPに依存している可能性があります。

セキュリティ研究者のスコット・ヘルム氏は、ウェブクローラーを用いて、上位100万サイトから毎日データを収集しています。彼はHTTPS-Everywhereの提唱者であり、このテーマに関する複数のカンファレンスで講演を行っています。

「Google Chromeの7月のアップデートは、すべての人にとってより安全なウェブ利用を実現するための進歩における重要な節目です」とヘルメ氏はEl Regに語った。「私たちは長年にわたり、ウェブの暗号化に向けて急速に前進してきましたが、ここ2年間で驚異的な進歩を遂げました。私はウェブ全体でHTTPSの導入が加速していることを追跡してきましたが、他の独立した調査でもこれが事実であることが確認されています。」

ヘルメ氏は、今月末にリリースされるChromeのメインストリーム版で導入される変更を歓迎すると述べた。サイトのセキュリティ状況がはるかにわかりやすくなるからだ。サイトが安全かどうかを確認するために南京錠アイコンを確認する必要はなく、安全でない場合には警告が表示されるようになる。

建設現場にブームが立ち並び、歩行者立ち入り禁止の標識も

シマンテックの証明書を保留しているサイトはこう語った。「Google Chromeの警告は見栄えが悪い」

続きを読む

「HTTPを『安全ではない』と表示する動きに続き、HTTPSのインジケーターも簡素化する計画も進行中です。この2つのアプローチは密接に関連しています」とヘルメ氏は述べた。「HTTPSがますますデフォルトになるにつれて、『安全』インジケーターを表示し続けることは意味をなさなくなります。ブラウザは、何か注目すべき事象が発生した場合にのみ通知するべきです。今後は、接続が安全だったことではなく、接続が[安全ではなかった]ことに注目が集まるようになるでしょう。これは、暗号化された通信が例外ではなく、当然のこととなったことを証明しています。」

セキュリティコンサルタントのポール・ムーア氏は、HTTPS サイトでも脆弱性が存在する可能性があると指摘し、注意を促した。

「サイトがTLSを導入しているというだけで『安全』であるという仄めかしには、依然として懸念を抱いています。Googleが示唆しているのは明らかにそのようなことではありません。しかしながら、ターゲット層(一般の人々)は両者の違いを理解しておらず、『安全』という言葉を、接続そのものを指すのではなく、サイト全体を指す包括的な言葉として使う可能性が高いでしょう。」

Chromeのアップデートは、依然としてHTTPを使用している数百万ものサイトにHTTPSへの移行を促すことを目的としています。ウェブは近年、この方向で大きな進歩を遂げていますが、まだやるべきことはあります。「多くのサイトが『安全ではありません』という警告を回避するために、HTTPSへの対応に追随する必要があります」と、DigiCertの最高製品責任者であるジェレミー・ロウリー氏は述べています。「IT管理者の皆様には、管理しているサイトを確認し、適切なTLS証明書を導入することをお勧めします。」

「場合によっては、管理者はすべてのページで証明書は必要ないと考えているかもしれませんが、誤った構成と展開により、Chrome 内で警告が表示されます。」

イプソスが今年初めに行った調査によると、インターネットユーザーの大多数(87%)は、ウェブページでブラウザの警告が表示された場合、取引を完了しないことが明らかになりました。回答者の半数以上(58%)は、購入手続きを完了するために競合他社のウェブサイトにアクセスすると回答しました。欧州のユーザーは、GDPR導入に伴う、弁護士の仲介による、おそらく意図的な副作用として、複数のサイトでプライバシー更新の通知に直面しました。これがブラウザの警告への対応にどのような影響を与えるかは不明です。

ChromeはHTTPS非対応ウェブサイトにこのような目に見える警告システムを導入した最初のブラウザですが、Microsoft、Apple、Mozillaも追随する可能性が高いでしょう。Rowley氏はさらに、「HTTP 2.0では主要ブラウザでTLS暗号化が必須です。主要ブラウザが新しい技術に移行するにつれて、ウェブサイトでは証明書の導入がますます重要になるでしょう」と付け加えました。®

Tutorials

Smart Recommendations

Discover More