[レベル: 中級]
非HTTPS、言い換えるとHTTPで、パスワードを送信するページにGoogle Chrome 56 と Firefox 51 では警告が出るようになりました。
Chromeでは、クレジッドカード情報を非HTTPSで送信するページも警告の対象になります。
GoogleもMozillaも事前にアナウンスしていた仕様変更を遂に実施しました。
- より安全なウェブを目指して – Google Developers Japan
- Communicating the Dangers of Non-Secure HTTP – Mozilla Security Blog
Search Consoleに届くセキュリティ警告
パスワードやクレジッドカード情報をHTTPで送信するページが存在しているサイトには、セキュリティ警告がSearch Consoleに届くことがあります。
http://www.example.com/ で、安全でないパスワード収集のため Chrome 56 で警告が発生する
http://www.example.com/ の所有者様
2017 年 1 月より、Chrome(バージョン 56 以降)では、パスワードやクレジット カード番号を収集するページで、HTTPS で配信されないものについては、「安全でない」と明示することになりました。
以下の URL は、Chrome のこの新しい警告が発生する原因となる、パスワードやクレジット カード情報の入力欄を含んでいます。こちらの例を参照し、警告が発生する箇所を確認して、ユーザーのデータの保護にお役立てください。なお、このリストはすべてを網羅したものではありません。
http://www.example.com/xxx/yyy.html
長期的には、非暗号化プロトコルである HTTP で配信されるすべてのページを「安全でない」と明示することを計画しており、この新しい警告はその第一段階です。
ブラウザの警告サイン
対象になるページには警告のサインがブラウザに表示されます。
Chrome
Chromeでは、「保護されていない通信」というラベルがアドレス欄のURLの前に表示されます。
ラベルをクリックすると説明を見ることができます。
Firefox
Firefoxでは、赤色の斜線が入った鍵マークのアイコンがアドレス欄のURLの前に表示されます。
Chromeと同じようにクリックすると説明を見ることができます。
対処方法
警告の対象になってしまった場合はどのように対処したらいいのでしょうか?
3つの対処方法を紹介します。
(1) HTTPSへ移行する
最も望まれる対処方法です。
サイトを完全にHTTPSへ移行すれば問題は完全に解決します。
今はパスワード(とChromeではクレジッドカード情報)だけをHTTPで送信するページだけが対象ですが、ChromeもFirefoxもいずれはすべてのHTTPページに対して警告を出すようにする計画です。
現状のように淡白な色のラベルではなく、「危険」を想起させる赤色のラベルになるかもしれません。
Chromeでは、利用時間の3分の2がHTTPSで接続されています。
Firefoxでは、表示されるページの半数以上がHTTPSになりました。
HTTPSの普及が他国に比べると日本ではかなり遅れているようなので、気付きにくいかもしれませんが、ウェブのHTTPS化は着実に進行しています。
いずれはHTTPSにしなければならない時がやってくるでしょう。
追い込まれた状況で移行に着手するよりは、余裕がある今始めるべきだというのが僕の個人的な推奨です。
(2) パスワード送信ページだけHTTPSにする
「サイト全体のHTTPS移行は、綿密な計画と準備が必要だし時間もかかる」こういった懸念があるのならば、とりあえずパスワードを送信するページだけをHTTPS化するという策もとれます。
とはいえ、1ページ、2ページだけをHTTPS化することが全体移行に比べて楽かと言ったら、そうでもないケースもありそうです。
(3) 無視する
セキュリティ警告はブラウザの仕様変更です。
検索エンジン (Google) の検索システムの変更ではありません。無視しても、クロールやインデックス、ランキングには悪い影響を与えません。
検索結果の観点だけから見れば、そのまま放置することだってできます。
とはいえ、怖がったユーザーはそのサイトをすぐに離れるかもしれないし、二度と訪問しないかもしれません。
なお、コメントを投稿する際にパスワードを入力させるブログがあるようです。
そういったブログでは、パスワード欄そのものを削除すれば警告の対象から外れます。
HTTPならHTTPSへの移行を念頭に
1つ目の対処方法でも触れたように、HTTPSへの移行は避けては通れないでしょう。
脅すつもりは毛頭ありませんが、そういう時代なのです。
大規模サイトではHTTPSへの完全移行は簡単なことではないかもしれません。
だからこそ切羽詰まってから着手するのではなく、計画的に段階的に進めてほしいと思うのです。