[レベル: 初・中・上級]
GoogleはGoogle Chromeに、HTTPS接続ではないページに対して「安全ではない」という警告を発する機能を搭載することを2014年12月に提案していました。
この時点ではあくまでも提案だったのですが、いよいよ現実味を帯びてきました。
Google Chromeで非HTTPSページにアクセスすると、「×マークが入った鍵アイコン」が標準状態でアドレスバーに表示されるようになるかもしれません。
HTTPページには警告マーク
Motherboardが報じるところによると、1月25〜27日に米サンフランシスコで開催された、セキュリティをテーマにしたENIGMA Conference 2016で、Googleの講演者は、非HTTPSページ、すなわち普通のHTTP接続のページに警告を出すこの提案を今までよりも華々しく公然と打ち出したそうです。
そして非HTTPSページがChromeでどのように見えるかをプレビューしました。
冒頭のキャプチャのように「×が入った鍵アイコン」がURLの前に付きます(正確に言えば「鍵」ではなく「錠」です)。
今のChromeではHTTPページには、白いページのアイコンが表示されるだけです。
「危険」を想起させるようなアイコンではまったくありません。
HTTPは安全ではない
セキュリティに対するGoogleのこうした方向性をカンファレンス参加者がTwitterに投稿すると、それを見て、Googleのセキュリティエンジニアチームを統括するParisa Tabriz(パリサ・タブリーズ)氏は次のように反応しました。
HTTPを、あるがままの姿、つまり「安全ではない!」として喚起する準備を私たちはしている。
HTTP, we're readying to call you out for what you are: UNSAFE! https://t.co/KuA6ARoH6n #enigma2016 https://t.co/Vs69HDZc2J
— Security Princess (@laparisa) 2016, 1月 26
近いうちにアナウンスがあるかも?
もっともカンファレンスの講演ではGoogleは、警告マークをChromeのデフォルトにするとまでは言ってはいなかったようです。
ところが、Googleの関係者はMotherboardに対して匿名で、「間もなくアナウンスがあるだろう」「目的は、望むらくはいつの日かそれ(警告マーク)をデフォルトにすることにある」とコメントとしたとのことです。
予断を許さない状況です。
Chromeの開発版、Canaryには非HTTPSページに警告マークを出す機能が備わっています。
ただしデフォルトではオフになっていて、表示させるには設定を自分で変更する必要があります。
この機能が、開発版ではなく安定版のChromeにデフォルトでオンになる可能性が出てきました。
とはいえ、説明したように正式な発表ではありません。
大至急HTTPS化しなければならないと煽るつもりはありません。
それでも、HTTPSアルゴリズムやHTTPSページ優先イデックスなど検索だけでなく、あらゆる場面でGoogleがウェブのセキュア化を猛烈に推進していることは認識しておきたいものです。
少なくとも新規にサイトを公開する際には、僕なら絶対に初めからHTTPSにしておくでしょう。
HTTPSへの後からの移行はかなり大変です。