IR 情報

お問い合わせ

BLOG

情報セキュリティ BLOG

Web セキュリティ

2021 年 08 月 24 日

Chrome 94、HTTPS 優先モード機能を搭載

~非 HTTPS サイトへの警告機能が、将来的に標準化へ~

米 Google は、今後リリースされる Chrome 94 以降で、HTTP(非暗号化通信)サイトへの接続を警告する「HTTPS-First Mode(HTTPS 優先モード)」機能を搭載することを 2021 年 7 月に 公表 しています。

HTTPS は、ウェブブラウザーとウェブサーバー間で暗号化通信を行い、情報の改ざん、個人情報、クレジットカード番号などが悪意ある第三者に盗み見されないようにします。
ウェブサイトを「HTTPS」にするためには、サーバー証明書がその役割を果たしていますが、「HTTP」はサーバー証明書が使われていない通信を意味しています。サーバー証明書に関する基礎知識については、SSL/TLS サーバー証明書 BLOG で解説しています。

HTTPS 優先モード機能は、HTTPS(暗号化通信)での通信を前提にしており、HTTP(非暗号通信)のサイトを読み込む前に警告を表示します。Chrome 94 以降では、ユーザーがこのモードを有効にした場合に警告が表示されますが、今後将来的に HTTPS 優先モードが標準化することが検討されています。
常時 SSL に関する BLOG で解説しましたが、これまでにも Google は常時 SSL 化を推奨する取り組みを行ってきており、ユーザーの安全性の向上が目的にあります。

Mozilla も同様に Firefox 83 より HTTPS-Only モードを実装したことを Mozilla セキュリティブログ に情報を公表しています。

また、2021 年 8 月後半に リリースが予定されている Chrome 93 では、アドレスバーのアイコンが「錠前」からドロップダウンのようなアイコンに置き換える実験をすることを公表しています。

(出典)Google ブログ

錠前アイコンは通信の暗号化を示すものでありますが、米 Google の調査では多くのユーザーがこのアイコンが信頼できるサイトと識別しているということから、上記のようにアイコンが置き換わると説明しています。

主要ブラウザーは、ユーザーの安全性を向上するためにセキュリティ機能を強化しています。サイト運営者にとって、ウェブサイトの HTTPS 化や常時 SSL を行うことが求められ、このような動向について理解し対応することが必要です。

一度常時 SSL 化を行えば、いつまでも万全というわけではありません。サーバー証明書には有効期限があり、有効期限までにサーバー証明書の更新を行わなければなりませんので、有効期限の管理などサーバー証明書は適切に管理する必要があります。
HTTPS 化や常時 SSL を行うためのサーバー証明書は、サイバートラストのように信頼された第三者機関である認証局が発行するもので、ウェブサイトを運営する組織の「実在証明」と、ウェブブラウザーとウェブサーバーの間で「暗号化通信」を行うための電子証明書です。
サイバートラストはサイト運営者の実在性を、最も厳格な審査によって発行する EV サーバー証明書は、国際基準に準拠しながら最短当日に発行できるほか、OV サーバー証明書を含め、マルチドメインやワイルドカードなど幅広いラインアップの SSL/TLS サーバー証明書を提供しています。

本記事に関連するリンク
あなたの会社の情報セキュリティ チェックリスト : サイバートラスト 情報セキュリティコンサルティングサービス
Web アプリ開発企業向け 情報セキュリティ対応度チェックリスト : サイバートラスト 脆弱性診断サービス
Web アプリケーション診断 早得キャンペーン
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS