サイト内検索にも警告が?Chromeが10月にさらにセキュリティ強化

[目次]

突然「保護されていません」と警告が!?Chromeの新しい安全性表示』でも紹介しましたが、今年1月にリリースされた「Google Chrome」のバージョン56から、パスワード/クレジットカード番号など、高いセキュリティが要求されるページがHTTP接続になっているときに、警告を表示する仕組みの適用が開始されました。

当該記事にもある通り、Googleは段階的にセキュリティの強化を進めると予告しており、10月にリリースが予定されているChrome 62から次のステップが適用されると公式アナウンスしています

Google Security Blog – Next Steps Toward More Connection Security

公式アナウンスは少し前の話になりますが、Chrome 62の提供開始まで3ヶ月に迫った今、改めてどのような変化が起こるのか見ていきましょう。

すべての入力フォームが対象に

Chrome 56でHTTP接続時にセキュリティ警告が表示されるのは、パスワード/クレジットカード番号など入力フォームが存在するページに限定されていました。

高いセキュリティが要求される場合には警告を表示する、というスタンスです。

Chrome 62では、セキュリティ警告を表示する対象が、入力フォームの存在するすべてのページに広がります

Webサイトの利用者が入力するすべてのデータが、HTTP接続による盗聴や漏洩の危険性にさらされるべきではない、というのが今回のバージョンでのスタンスになります。

パスワード/クレジットカード番号の入力欄がなくても、何らかの情報が入力、選択できるようになっているだけで、保護されていない旨の警告メッセージが表示されます。

意外に見落としがちなところでは、全ページにサイト内検索などのテキストボックスが設置されているWebサイトは、HTTPで接続しているだけで警告の表示対象になります。

Chrome62

シークレットモードではすべてのHTTP接続が対象に

Chromeには、履歴やCookieなどを保存せず、よりセキュリティの高い状態でWebサイトを閲覧するために、「シークレットモード」が用意されています。

Chrome 62からは、シークレットモードの利用者 = セキュリティに対する要求が高い、という図式から、シークレットモードを利用時にHTTP接続でWebサイトを閲覧すると、入力フォームの有無に関係なくすべて警告が表示されます。

ますます待ったなしの常時SSL化

今回、シークレットモードのみですべてのHTTP接続が警告対象になりましたが、いずれ通常のモードでも同様になるのは時間の問題と思われます

Chrome 56から62までは約9ヶ月の期間がありましたが、次はもっと短いスパンになるかも知れません。

Googleではさらに積極的にHTTPSへの移行を進めて欲しいとアナウンスしています。

1年半くらい前までは常時SSLなんてまだまだ遠い未来の話だろう、と思っていたのに、Chromeの動きを見ているとあっという間に、おそらく来年には常時SSL化していないと恥ずかしい、という状態になることが予想されます。

SSLサーバー証明書も安価になってきており、もう費用面での問題はないはずですので、迷っていないですぐに常時SSL化を実行しましょう。

この記事のポイント

  • Webサイトの利用者や検索ロボットを適切にHTTPSに誘導するための設定は必須です
  • 作業には細心の注意を払い慎重に実施しましょう

関連記事

2016/12/22
突然「保護されていません」と警告が!?Chromeの新しい安全性表示
2017/1/18
アドレスバーに「保護されていません」が出るのはどんな時?