Chrome 68から、Google ChromeはHTTPSでないサイトをすべて「安全でない」とマークしています。何も変わっていない。HTTPサイトはこれまで通り安全だが、Googleはウェブ全体を安全で暗号化された接続に向かわせようとしている。

将来的には、Googleはアドレスバーから「セキュア」という言葉を取り除くことさえ計画している。結局のところ、デフォルトではすべてのウェブサイトが安全であるべきなのだ。

安全な」httpsサイトの仕組み

HTTPSによる暗号化を行っているWebサイトにアクセスすると、アドレスバーにおなじみの緑色の鍵のアイコンと「secure」という文字が表示されます。

パスワードの入力、クレジットカード番号の入力、機密性の高い財務データを受信する場合でも、暗号化により、送信内容を盗聴したり、お客様のデバイスとウェブサーバー間のパケットを変更したりすることはできません。

これは、ウェブサイトが安全なSSL暗号を使用するように設定されているためです。ウェブブラウザは、従来の暗号化されていないウェブサイトへの接続にはHTTPプロトコルを使用し、安全なウェブサイトへの接続にはHTTPS（文字通りHTTPとSSL）を使用します。HTTPSは、Webサイトの所有者が設定しなければ、Webサイトで機能しません。

HTTPSは、悪意のあるユーザーがWebサイトになりすますことを防ぐ効果もあります。例えば、あなたが公共のWi-Fiホットスポットにいて、グーゴルに接続する場合、グーグルのサーバーはグーゴルへのアクセスのみを提供することになります。もしGoogleが暗号化されていないHTTPだけを使用している場合、あなたが接続しているのが本物のGoogleサイトなのか、それともあなたを騙してパスワードを盗むために作られた偽サイトなのかを見分ける方法はありません。例えば、悪意のあるWi-Fiホットスポットが、公衆Wi-Fiに接続すると、このような偽サイトにリダイレクトさせることができるのです。

(技術的には、これはアイデンティティとEV (Extended Validation)クレデンシャルを検証するものではありませんが、ないよりはましです！)

HTTPSには他にも利点があります。HTTPSでは、あなたが訪問しているWebページのフルパスを誰も見ることができません。接続先のウェブサイトのアドレスが見えるだけです。そのため、example.com/medical\u conditionのページで病気について読んだとしても、インターネットサービスプロバイダーは、あなたがexample.comのサイトに接続したことだけがわかり、あなたが読んでいる病状はわからないようになっているのです。あなたがウィキペディアを閲覧した場合、あなたのISPや他の人は、あなたがウィキペディアを読んでいることだけがわかり、何を読んでいるのかはわかりません。

HTTPSはHTTPより遅いと思うかもしれませんが、それは間違いです。開発者は、ウェブ閲覧を高速化するためにHTTP/2のような新しい技術に取り組んでいますが、HTTP/2はHTTPS接続でのみ許可されます。これにより、HTTPSはHTTPよりも高速になります。

暗号化されていないウェブサイトが「安全でない」理由

従来のHTTPは、どんどん陳腐化しています。そのため、Chrome 68では、暗号化されていないHTTPのサイトにアクセスすると、アドレスバーに「安全ではありません」というメッセージが表示されます。これまでのChromeは、円の中に「i」というインフォメーションが表示されるだけでした。"Not secure "のテキストをクリックすると、Chromeは "Your connection to the site is not secure "と表示します。

Chromeは、接続を保護するための暗号化がないため、接続が安全でないと言います。すべてのコンテンツはプレーンテキスト接続で送信されるため、簡単に盗聴や改ざんが可能です。このようなサイトにパスワードや決済情報などの個人情報を入力すると、インターネット上を移動する間に誰かに盗み見される可能性があります。

ウェブサイトから送られてくるデータも、人が見ることができます。そのため、たとえウェブを見ているだけでも、どのページを見ているのかが盗聴者に正確にわかるのです。また、インターネットサービスプロバイダは、あなたがどのページを見ているかを正確に把握し、広告ターゲティングのためにこの情報を利用することができます。喫茶店などの公衆無線LANでは、自分が見ているものを他の人も見ることができます。

暗号化されていないウェブサイトは、改ざんされる危険性もあります。もし、あなたとウェブサイトの間に何者かが入り込めば、ウェブサイトがあなたに送信するデータを変更したり、あなたがウェブサイトに送信するデータを変更して、中間者攻撃を行うことができるのです。例えば、公共のWi-Fiホットスポットを利用する際に起こり得ます。ホットスポットのオペレーターは、お客様のブラウジングを監視し、個人情報を取得したり、お客様に届く前にウェブページの内容を変更したりすることができます。例えば、ダウンロードページがHTTPSではなくHTTPで送信された場合、マルウェアのダウンロード**を正規のダウンロードページにリンクさせることが可能です。正規のサイトに見せかけた偽の偽サイトも作れる 正規のサイトがHTTPSを使用していない場合、正規のサイトではなく偽サイトに接続していることに気づくことはできない。

なぜGoogleはこのような変更を行ったのでしょうか？

Google や Mozilla などのウェブ企業は、ウェブを HTTP から HTTPS に移行するキャンペーンを長く続けてきました。 HTTP は、今やウェブサイトが使用すべきでない時代遅れの技術であると考えられています。

当初は一部のサイトのみがHTTPSを使用していました。銀行やその他の機密性の高いサイトではHTTPSが使用され、パスワードでログインしてクレジットカード番号を入力すると、HTTPSのページにリダイレクトされます。でも、それだけなんです。

当時は、HTTPS の導入にはサイトオーナーにある程度の費用がかかり、安全な HTTPS 接続は HTTP 接続より遅かったのです。ほとんどのウェブサイトはHTTPを使っているだけだが、これでは接続の盗聴や改ざんが可能だ。このため、公共のWi-Fiホットスポットを利用するのは危険です。

プライバシー、セキュリティ、認証を提供するために、Googleやその他の企業はウェブをHTTPSに移行したいと考えています。新しい技術のおかげで、HTTPSはHTTPよりも高速になり、ウェブサイト所有者は非営利団体Let's encryptから無料のSSL証明書を入手してウェブサイトを暗号化することができるようになりました。GoogleはHTTPSを使用しているウェブサイトを優先し、Googleの検索結果に表示されるように宣伝しています。

GoogleのTransparency Reportによると、Windowsブラウザーの75%のサイトがHTTPSを使用しています。今こそ、スイッチを入れて、HTTPサイトに対する警告をユーザーに発し始めるべき時です。

何も変わっていないHTTPは、相変わらず同じ問題を抱えている。しかし、十分な数のサイトがHTTPSに移行しているため、HTTPについてユーザーに警告し、サイトオーナーに先延ばしをやめるよう促す時期が来ています。HTTPSを使用することで、ウェブの高速化と同時に、セキュリティとプライバシーを向上させることができます。また、公衆無線LANのホットスポットをより安全に利用することができます。