Chrome68へ(SSL化推奨)

Chromeのセキュリティへのマイルストーン：HTTPを「安全でない」ものとする

セキュリティは始めからChromeの基本原則の一つとして捕らえられていますが、私たちは絶えずWebブラウザをする皆さんを安全に守るために取り組んでいます。およそ2年前、Chromeが最終的にはHTTPSで暗号化されていない全てのサイトを「安全でない」と見なすと発表しました。これによりWeb上を動き回って、例えば銀行口座を確認したりコンサートチケットを買ったりするときに、あなたの個人情報が安全に守られているかどうかより簡単に知れるようになります。本日から、このような変化を全てのChromeユーザーにロールアウトしていきます。

暗号化接続の強化が、セキュリティ強化へ
普通のHTTPを通してWebサイトをロードするとき、サイトへの接続は暗号化されません。これはネットワークにいる誰もがあなたのWeb上で行き来する情報を見れる、もしくはサイトの内容を見せる前に改ざんできるということを意味します。HTTPSでは、サイトへの接続は暗号化されるので、盗聴者は締め出され、パスワードやクレジットカード情報などの情報はサイトに送られる際は内密になります。Chromeの「安全でない」という警告は、安全ではないサイトへ接続する際に接続が安全でないことを知るのに役立ちますし、それと同時にサイト所有者にサイトのセキュリティを向上させねばというモチベーションにもつながります。約2年前の発表から、HTTPSの利用はかなり進歩してきています。透明性レポートでは、

• アンドロイド上でのChromeのトラフィックは42%から76%まで保護されるようになった
• ChromeOS上でのChromeのトラフィックは67%から85%まで保護されるようになった
• Web上のトップ100サイトのうち37サイトから、83サイトでデフォルトでHTTPSが使われている

ことが明らかになっています。全てのHTTPページへの警告をロールアウトしていくのに時間がかかることは分かっていたので、パスワードとクレジットカード情報を集める暗号化されていないページのみから始めました。その後、HTTPページでデータを入力したときとプライベートモードでHTTPページを訪れたとき、という2段階の付加状況において「安全でない」という警告の表示をし始めました。最終的なゴールは、Chrome上でサイトが安全でない時だけその警告や印を目にすることと、デフォルトで警告のない安全な状態にすることです。これを時間と共に徐々にロールアウトしていき、まず2018年9月に「安全」という単語を外すことから始まります。そして2018年10月には、ユーザーがHTTPページでデータを入力する際に、「安全でない」警告が赤く表示されるようになります。

暗号化をより簡単に
もしあなたがサイト所有者でサイトをHTTPSに移行して(または築いて)いくなら、私たちはこれまでそのプロセスを出来る限りシンプルでお金をかけずに作ってきたこともご参考ください。SSL化において、Google App Engineで自動的にHTTPSが全ての.appドメインに必須化されたり、Let’s Encrypt(Chromeはプラチナスポンサー)での無料かつ自動の証明書が発行されたりしています。

また、もしHTTPSへの移行の最中であれば、Search Consoleからのより詳しい情報とアドバイスについてのメッセージを見てみてください。今後コンサートのチケットを購入したりオンラインバンキングをする際は安心してください、HTTPSであなたの情報が守られていないサイトの場合、警告してくれます。引き続き、ユーザーの皆さんが一番安全なブラウザとして利用できるよう、Chromeセキュリティを向上していきます。

引用）The Keywordより和訳