Googleの「Chrome」ブラウザが2018年7月から、全てのHTTPサイトを「Not secure」と表示することについて、ESETが功罪を解説した。
スロバキアのセキュリティ企業ESETは2018年2月12日(現地時間)、Googleの「Chrome」ブラウザが2018年7月から、暗号化されていないHTTPプロトコルを使い続けているWebサイトを「Not secure」(安全ではない)と表示すると発表されたことを受け、公式ブログでこのニュースを解説した。
以下、内容を抄訳する。
HTTPから大幅に改良されたHTTPSプロトコルは、Webサイトのサーバとユーザーのコンピュータ間のエンドツーエンドの暗号化を実現し、ユーザーがサイトに送信するメッセージや、サイトからダウンロードする情報などの傍受を防止する。
2017年には多数のサイトがHTTPSに移行しており、これはセキュリティやプライバシーに関心を持つ全ての人にとって素晴らしいニュースだ。
Googleのブログエントリーによると、現在、AndroidおよびWindows上でのChromeトラフィックの68%以上が、HTTPSで保護されている。この数字はChrome OSやMac上では78%以上になる。しかも、上位100のWebサイトのうち、81サイトがデフォルトでHTTPSを使用しているという。
目覚ましい前進だが、GoogleはHTTPSの採用をさらに強力に後押ししようとしている。
Chromeは2017年初めから、パスワードやクレジットカード情報を収集するHTTPページにアクセスすると、オムニボックスで「Not secure」と表示するようになった。さらに、プライベートブラウジングモードでHTTPページを訪問した場合や、ユーザーがHTTPページでデータを入力した際も、この警告を表示するようになった。
だが、今度は全てのHTTPサイトを「Not secure」と認定することになる。HTTPサイトのオーナーは、サイト訪問者がこの警告にどう反応するかを考える必要がある。この警告は多くのユーザーを不安にさせそうだ。
だが、多くのインターネットユーザーは、暗号化された安全なHTTPS接続と、適切にセキュリティが確保されているWebサイトの違いを、理解していないかもしれない。つまり、あるWebサイトがHTTPSを使用していても、100%信頼できるとは限らない。同様に、まだHTTPを使っているWebサイトでも、他のセキュリティ対策や個人情報の扱いはきちんとしているかもしれない(そうしたサイトがHTTPSに非対応であることは考えにくいが)。
Googleとしては板挟みだ。Webサイトが、訪問するユーザーのコンピュータ間で、情報を適切に暗号化しているかどうかを示すマークは、ユーザーにとって分かりやすく、よく目立つ。同時に、サイトが「完全に安全」(または「全く安全ではない」)という連想にならないことが望ましいが、そうしたマークはありそうもない。
Chromeの警告は、完全ではないかもしれないが、現時点で望み得るベストだ。もしGoogleが将来、「Not secure」の文字色をグレーから鮮やかな赤に変え、三角形の警告マークとともに表示すれば、警告の効果とともに副作用も増幅されそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.