東三河（豊橋・豊川・蒲郡）でホームページ・アプリ制作は
ゼロスタイルジャパン

Google Chromeのセキュリティ警告 常時SSL化 https://zerostyle.co.jp/blog/google-chrome%e3%81%ae%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e8%ad%a6%e5%91%8a-%e5%b8%b8%e6%99%82ssl%e5%8c%96/

この記事のタイトルとURLをコピーする

最近、巷で騒がれているWEBサイトの常時SSL化についてわかりやすく説明をさせていただきたいと思います。

 

SSL/TLS証明とは何か？

SSL（Secure Sockets Layer）とTLS（Transport Layer Security）は、どちらもインターネット上でデータをやり取りする際に、そのデータを暗号化して送受信する仕組み（プロトコル）です。個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ～PC間での通信を安全に行なうことができるものです。

 

SSL/TLS証明はどんな時に必要？

わかりやすく説明すると、例えばショッピングサイト。今や誰でもネットショッピングを一度は利用したことがあるのではないでしょうか？
その際にクレジットカード情報や個人情報の入力を求められたことがあると思います。
なんかちょっと怖いな…　と感じることもあったと思います。
こんな時に役に立つのがSSLです。上記で説明をした通り情報を暗号化して送信するので基本的には情報の漏洩を防ぐことができます。

 

SSL/TLS証明が入っていないとどうなる？

これは主にサイト運営社側の話になりますが、ユーザーがお問い合わせフォームよりお問い合わせをし、その後なぜか大量の迷惑メールが入るようになった。これは明らかに情報漏洩をしていることを意味します。
するとどうなるか？

「御社に問い合わせをしてから迷惑メールが大量にはいってきた!!」「知らないクレジットカードの請求がきた!!」などなど…
クレームにつながり企業の信用問題に関わる重大な問題へと発展することもあります。

 

『保護されていません』と突然警告が表示された!?

2017年1月にリリースされた「Google Chrome」のバージョン56から、パスワード/クレジットカード番号の入力など、高いセキュリティが要求されるページがHTTP接続になっていた場合、警告を表示する仕組みの適用が開始されました。

Googleの意向としては、より一般的な目線にたち、安全なサイト閲覧を提供したいと考えています。
なので段階的にセキュリティの強化を進めると予告しており、2017年10月にリリースされたChrome 62から次のステップが適用されると公式アナウンスしています。

参考サイト： Next Steps Toward More Connection Security　（英語表記）

改めて今後どのような変化が起こるのか見ていきましょう。

 

入力フォームがあるサイトは全て対象

Chrome 56でHTTP接続時にセキュリティ警告が表示されるのは、以前はパスワード/クレジットカード番号などの入力フォームが存在するページに限定されていました。
個人情報などの高いセキュリティが必要とされるサイトの場合には警告を表示する、というスタンスです。
Chrome 62では、セキュリティ警告を表示する対象が、入力フォームの存在するすべてのページに広がります。
Webサイトの利用者が入力するすべてのデータが、HTTP接続による盗聴や漏洩の危険にさらされることなく安全に閲覧できるようにするべき、というのが今回のバージョンでのGoogleの見解です。サイト自体に何らかの情報が入力、選択できるようになっているだけで、このサイトが保護されていない旨の警告メッセージが表示されます。

他にも全ページにサイト内検索などのテキストボックスが設置されているWebサイトは、HTTPで接続しているだけで警告の表示対象になります。

 

2018.06.01追記

Chrome 68（2018年7月リリース予定）からHTTPサイトというだけで警告表示

これまでの一連の流れの中で、2018年7月リリースの「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するという公式アナウンスがありました。

↓この状態

 

参考サイト： A secure web is here to stay　（英語表記）

 

 

大手企業サイトを見てもまだ常時SSLに対応していないところもあり、そこまで深刻に考えていない企業もあるかもしれません。

今のところは「保護されていません」というテキストだけの表示ですが、将来的にはサイトを開く際に警告文などがでる可能性もあります。

SSL化されていないサイトを排除しようとしているGoogleの本気度は高いです!

もうすぐに2018年7月は迫っています「とりあえずこのままでいっか」と思わずにできるだけ早く、Webサイトを常時SSLに対応させることをおすすめします。

 

 

2018.08.01追記

全世界のhttps（SSL）の導入状況

Googleの調査結果によると、現在Webサイトのhttps化の状況は以下のようになっています。

• AndroidとWindowsにてChromeを使用するトラフィックの68％以上はhttps化されている
• Chrome OSとMacにてChromeを使用するトラフィックの78％以上はhttps化されている
• 世界のトップ100サイトのうち81サイトがデフォルトでhttps接続をしている

このように世界では約7～8割のサイトがhttps化されています。インターネットの先進国であるアメリカでは80％がhttps化されているのに対して、日本では60％に留まっているのが現状です。これは他国と比較した場合、日本のhttps導入率が最も低く、普及が遅れていることがわかります。

参考：Google Security Blog

 

その理由として…

日本でのSSLの導入率が遅れている理由は、導入コストの問題や必要性の浸透度が低いことなどが考えられますが、日常的に通信を行う現代では、安全な通信のために必ずと言っていいほど必要なものに変わりはありません。

 

今後は常時SSL化に待ったなし！

今まで「常時SSL化に待ったなし！」と話題にされてきましたが、本当に待ったなしの状態となってしまいました。現在では「保護されていない通信」はグレーの文字で表示されていますが、これが警告を意味する赤色の文字や赤斜線がついたりとさらなる警告表示の強化が検討されています。少し大げさかもしれませんが、最終的にはSSL化されていないWEBサイトは、エラーが表示されて閲覧できなくなることも考えられます。

 

↓この状態から

↓この状態に

 

現在の日本のWEB閲覧者はそこまでアドレスバーに視線を向けている方が少ないため、意外と知らなかったという方も多いかもしれませんが、Chrome 68ではサイトが表示された際にすでに「保護されていない通信」が表示されているため、警告に気づいて不安に思うユーザが増えると考えられます。その文字が今後さらに目立つようになると考えると、まさに「常時SSL化に待ったなし！」の状況であるということが理解できるかと思います。