Chrome68へ(SSL化推奨)

もともと言われてきた話ですが、本日より、Google Chromeのバージョンが68になりました。非SSLのページには「保護されていません」と出るようになりました。Googleもブログで告知しておりましたので、私もご紹介したいと思います。

安全に

ふわふわ

blog.googleの内容

今回Googleがブログで発表した内容は本国(英語版)です。しかし、私の後輩が訳してくれましたので、ここでご紹介したいと思います。

Chromeのセキュリティへのマイルストーン:HTTPを「安全でない」ものとする

セキュリティは始めからChromeの基本原則の一つとして捕らえられていますが、私たちは絶えずWebブラウザをする皆さんを安全に守るために取り組んでいます。およそ2年前、Chromeが最終的にはHTTPSで暗号化されていない全てのサイトを「安全でない」と見なすと発表しました。これによりWeb上を動き回って、例えば銀行口座を確認したりコンサートチケットを買ったりするときに、あなたの個人情報が安全に守られているかどうかより簡単に知れるようになります。本日から、このような変化を全てのChromeユーザーにロールアウトしていきます。

暗号化接続の強化が、セキュリティ強化へ
普通のHTTPを通してWebサイトをロードするとき、サイトへの接続は暗号化されません。これはネットワークにいる誰もがあなたのWeb上で行き来する情報を見れる、もしくはサイトの内容を見せる前に改ざんできるということを意味します。HTTPSでは、サイトへの接続は暗号化されるので、盗聴者は締め出され、パスワードやクレジットカード情報などの情報はサイトに送られる際は内密になります。Chromeの「安全でない」という警告は、安全ではないサイトへ接続する際に接続が安全でないことを知るのに役立ちますし、それと同時にサイト所有者にサイトのセキュリティを向上させねばというモチベーションにもつながります。約2年前の発表から、HTTPSの利用はかなり進歩してきています。透明性レポートでは、

  • アンドロイド上でのChromeのトラフィックは42%から76%まで保護されるようになった
  • ChromeOS上でのChromeのトラフィックは67%から85%まで保護されるようになった
  • Web上のトップ100サイトのうち37サイトから、83サイトでデフォルトでHTTPSが使われている

ことが明らかになっています。全てのHTTPページへの警告をロールアウトしていくのに時間がかかることは分かっていたので、パスワードとクレジットカード情報を集める暗号化されていないページのみから始めました。その後、HTTPページでデータを入力したときとプライベートモードでHTTPページを訪れたとき、という2段階の付加状況において「安全でない」という警告の表示をし始めました。最終的なゴールは、Chrome上でサイトが安全でない時だけその警告や印を目にすることと、デフォルトで警告のない安全な状態にすることです。これを時間と共に徐々にロールアウトしていき、まず2018年9月に「安全」という単語を外すことから始まります。そして2018年10月には、ユーザーがHTTPページでデータを入力する際に、「安全でない」警告が赤く表示されるようになります。

暗号化をより簡単に
もしあなたがサイト所有者でサイトをHTTPSに移行して(または築いて)いくなら、私たちはこれまでそのプロセスを出来る限りシンプルでお金をかけずに作ってきたこともご参考ください。SSL化において、Google App Engineで自動的にHTTPSが全ての.appドメインに必須化されたり、Let’s Encrypt(Chromeはプラチナスポンサー)での無料かつ自動の証明書が発行されたりしています。

また、もしHTTPSへの移行の最中であれば、Search Consoleからのより詳しい情報とアドバイスについてのメッセージを見てみてください。今後コンサートのチケットを購入したりオンラインバンキングをする際は安心してください、HTTPSであなたの情報が守られていないサイトの場合、警告してくれます。引き続き、ユーザーの皆さんが一番安全なブラウザとして利用できるよう、Chromeセキュリティを向上していきます。

引用)The Keywordより和訳

ふわふわ

実際どうなったの?

今回のChrome68において、実際には以下のようになっています。英語では「安全ではない(=not Secure)」となっていますが、日本語では「保護されていません」もしくは「保護されていない通信」という文言が表示されます。実際には、バージョン68では、通常モードの状態で、今までの(!)マークの他に「保護されていません」と出現するのみで、プライベートモードでは既にバージョン67でも文言は出現していました。

「保護されていません」

10月にはこの「保護されていません」が赤字になって表示されるようになるとのことです。

SSL化が未実装のサイトは至急の実装をお勧めします。あ、Google Analyticsは大丈夫ですが、Search ConsoleはSSL化に伴って新規プロパティを作成することをお忘れなく――。