スタッフブログ
2017.1.10
Google Chromeが2017年よりHTTP接続で警告を表示開始
あけましておめでとうございます。
本年もどうぞ、よろしくお願いいたします。
2017年が始まりました。なんか2017年なんて近未来だなあと思っていましたが、その近未来的な響きの年に生きていることに少し高揚しながら仕事始めしています。
2017年は、世界でも多くの変化が起こる年です。そんな中で、インターネット界でも大きな変化の年となりそうです。まあ、ネット業界は毎年激変なのですが・・・。
2017年、インターネット業界でのまず最初の変化は「SSL化のさらなる推進」です。以前よりSSL化の波は来ていましたが、今年から半ば強制的にSSL化に踏み切るための動きがあります。
Google Chromeが2017年1月よりHTTP接続で警告を表示開始予定
Googleは、ユーザーの利益を常に考えることで有名です。その中の大きな動きのひとつに、HTTPS通信(SSL / TLSを介した通信)をすべてのサイトに導入するための「HTTPS Everywhere」という活動・施策を進めています。
その先駆けとして、WebサイトがSSL / TLSを実装していることを、検索順位の評価指標とすることを2014年8月に発表していました。
そして2016年9月8日(米国時間)に、Chromium Blog「Moving Towards a More Secure Web」において、全サイトをHTTPS化させるための非常に大きい発表を行いました。
その内容は下記の図のように「2017年1月リリース目標の Chrome 56から、パスワードやクレジットカードを送信する HTTP サイト(非 SSL/TLS サイト)において、以下のように「安全ではない(Not secure)」という意味を持つアイコンをアドレスバーに表示する」というもの。
さらに、Googleは最終的にはSSLやTLSを導入していないすべてのサイトで、「安全ではない(Not secure)」と表示させるとのこと。しかも赤文字で!
もうここまでくると、気にしない方が無理です。
何年か前から、いつかその時代が来るだろうと言われていましたが、ついにその時期が来たということ。「安全ではない」なんて表示されたら、閲覧者はおそらくこのサイトを使わない、または会社などではその会社のイメージが「安全ではない会社」として認識するだろうと、容易にイメージできます。そのことから、特に企業は常時SSL化は避けられないものと考えます。
またその後、Firefoxの開発元であるMozillaもその動きに追随すると発表したことから、いよいよサイトをSSL化させることは「また今度ね」とすることはできない状況になりました。やる以外の選択肢はもうないでしょう。
Chrome?Firefox?そんなん知らないよ!だってうちはInternet Explorer使ってるもん!と思っている方へ
日本の企業で未だに大きいシェアを誇っているInternet Explorerを利用している人は、「Chrome?Firefox?そんな名前聞いたことないよ!そんな有名じゃないもののために対応しなくていいだろ!」という思いを持っている方がいるだろうと思います。
その考えは、今すぐ捨ててください!
Net Applicationsというウェブの分析している会社が、毎月ウェブブラウザ(インターネットを見るためのソフトウェア)のシェアを発表しているのですが、2016年12月現在Chromeは半数以上の56.43%のシェアを誇っており、Internet Explorerの20.84%に比べて大幅に上回っているのです。
| 1位 | Chrome | 56.43% |
| 2位 | Microsoft Internet Explorer | 20.84% |
| 3位 | Firefox | 12.22% |
| 4位 | Microsoft Edge | 5.33% |
| 5位 | Safari | 3.47% |
ネットをあまり利用しない、もしくはネットなどで問い合わせをすることにあまり慣れていないユーザーがInternet Explorerを利用していると言われており、問い合わせをネットからすることに慣れているユーザーは、Internet Explorer以外のウェブブラウザを利用している率が高いと言われています。
そのため、自分たちがInternet Explorerを使っているからと言って、それ以外のユーザー、つまりお客様や閲覧してくださる方々のことをないがしろにしてもいいという理由にはならないのです。
まとめ
いかがでしょうか。
WEBに携わる方であれば、絶対知っておくべきSSL化の流れをお伝えしました。
ただ、知っておいていただきたいことは「SSL / TLSを導入したからといって、もう安全というわけではない!」ということです。わかりやすく例えるならば、SSL / TLSを導入するのはただ家にカギをかけたくらいに過ぎないということ。鍵は破られればすぐ泥棒に入られます。そしてどんな鍵でもいい、というわけではありませんよね。
- 質の高い強固な鍵
- その他のセキュリティ
- 使用している人がいつも気をつける心がけ
が必要なわけなのです。
そして、盗まれたあとでは遅いのです。盗まれた場合の損害額や企業イメージは、SSL化するためのコストより高いですか?そんなこと、絶対ありえないのです。
それらのことをしっかりと意識して、セキュリティなサイト運営の第一歩を踏み出しましょう。
あなたのサイト、絶対100%大丈夫と言い切れますか?
2017年3月8日追記
Firefoxの最新バージョン、Firefox52で遂になかなか目立つ警告が出るようになりました。
パスワードやクレジットカード情報を、SSLがかかっていないHTTPページで入力しようとすると、「この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。」という文章が表示されるようになりました。
HTTPSではないページで、パスワードなどを入力しようとしたユーザーがこの表示をみたらびっくりして離脱するでしょうね。
