GoogleのChromiumセキュリティチームは、約1年前に、すべてのHTMLサイトに「保護されていない」ことを示すマークを付けることを提案したが、同社はこのポリシーをChromeに組み込む準備を進めている。
同社は2014年に、HTTPサイトはユーザーに対してデータセキュリティを提供していないため、例えばURLの横に錠に赤いバツをつけたマークを表示するなどして、その事実をユーザーに警告することを提案している。
Googleは同時に、AppleやMicrosoft、Mozillaに対しても、現在の状況を少しずつ変えていき、マークのないサイトは、より安全なHTTPSを使用したページだけにしていくことを呼びかけた。
未来のChromeでは、HTTPを使用したサイトは「危険」であることが分かるようなマークが表示されるようになる。
提供:Liam Tung/ZDNet
HTTPSを使用している場合、ユーザーの接続は暗号化され、サイトのデジタル証明書がサードパーティの証明機関によって検証される。
Googleは、適切に暗号化された接続を使用すれば、ウェブに対する監視攻撃をある程度妨害できると主張している。同社は2014年から、検索結果のランキングでHTTPSを使ったサイトの結果を有利にしており、2015年12月にはインデックスシステムを変更して、HTTPページにHTTPS版が存在する場合には、HTTPSのサイトを優先して表示するようにしている。
これまでGoogleは、この提案の進捗状況について明らかにしてこなかった。しかし同社は、USENIXのセキュリティカンファレンスEnigma 2016で、この機能がChromeに組み込まれると、The New York Timesのウェブサイトがどう表示されるかを示してみせた。
Chromeユーザーは、URLバーに「chrome://flags/」と入力し、「保護されていない発行元に『保護されていない発行元』のマークを付ける」試験的な機能を有効にすることで、このマークがどのように表示されるかを見ることができる。
Chromeでこの新しいマーク付けシステムがデフォルトになる時期は明らかになっていないが、米国調達庁のデジタルサービス部門である18FのEric Mill氏など、一部の専門家は、これは計画が進んでいることを示す明確なサインだと考えている。
ChromiumのIssueトラッカーでも、この機能が推し進められていることが分かる。「HTTPのように安全でないページには、不具合のあるHTTPSと同じマークを表示しようとしている。というのも、1)ページにニュートラルなマークを付与するよりもこちらのほうが的確であり、2)セキュリティマークのセットがシンプルになると考えられるからだ」
同社はまた、開発者のHTTPS導入を支援する新しいツールもリリースした。
米国時間1月26日、GoogleはChromeの開発者向け新ツール「Security Panel」を発表した。この機能は、安全な接続が確立されていることを示す緑の錠がサイトに表示されないときに、よくある問題が起きていないかを開発者がチェックするためのものだ。
このツールは、電子証明書の有効性や、サイトで安全なプロトコルや暗号、鍵交換方式が使用されているかをチェックする。
さらに、本来保護されているページに保護されていない画像が入っているなどの、コンテンツの混在の問題も指摘してくれる。このような場合、現在のChromeでは、錠の画像に黄色い三角が表示される。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
