2018年よりGoogleのChromeブラウザでは、常時SSL化されていない「HTTP」サイトに警告を表示される事が示すように、同社は長年にわたってHTTPSを推進してきたが、依然として一部のサイトはHTTP化されていないことがGoogleの最新のレポートによって明らかにされている。
ウェブ上のHTTPS暗号化に焦点を当てたグーグルの最新の透明性レポートによると、”Chromeユーザーのナビゲーションの90%以上がHTTPS化されている”という。だが、裏を返せばこれは、Googleが以下に述べるように残りはHTTPS化されていないと言うことだ:
しかし、トラフィックの頑固な5~10%はHTTPのままであり、攻撃者はそのデータを盗聴したり変更したりすることが出来るのです。
同社は、Chromeのアドレスバーに表示される「安全ではありません」という警告は「不十分であり、多くの人がその警告に気づかないだけでなく、誰かが警告に気づいた時にはすでに被害が発生している可能性がある」としている。
これに対してChromeでは、ブラウザがHTTPSへのアップグレードを試みるHTTPS-Firstモードを搭載しており、これが失敗した場合、ユーザーはHTTPで安全でないサイトを訪問するかどうかを確認しなければならない。目標は、デフォルトですべての人がこのモードを有効にすることだが、Googleは「今日、WebはHTTPS-First Modeを普遍的に有効にする準備がまだ整っていない」と指摘している。
それまでは、高度な保護プログラムを使用している場合、HTTPS-Firstモードが有効になる。また、シークレット・モードでも「まもなく」デフォルトになるとのことだ。
また、Googleは以下の取り組みも行っていると言う:
- 現在、Chrome が通常 HTTPS 経由でアクセスすることを認識しているサイトで HTTPS-First Mode による保護を自動的に有効にする実験を行っています。
- 最後に、ごくまれにしか HTTP を使用しないユーザーに対して HTTPS-First Mode を自動的に有効にすることを検討しています。
- 「安全でない接続で危険性の高いファイルをダウンロードする」場合、Chrome は警告を表示します。
また、「安全でない接続で危険性の高いファイルをダウンロードする」場合、Chrome は警告を表示するという。これらの警告は9月中旬から展開される予定だ。
Source
- Chromium Blog: Towards HTTPS by default
