GoogleがHTTP接続のサイトを今後「安全でない」と警告表示することに

Googleが公式ブログのGoogle Online Security BlogやChromium Blogで、パスワードやクレジットカード情報の送信の際にHTTP接続を使用するサイトを「安全ではない」サイトとして扱う方針を明らかにしています。

Google Online Security Blog: Moving towards a more secure web
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Chromium Blog: Moving Towards a More Secure Web
http://blog.chromium.org/2016/09/moving-towards-more-secure-web.html

Googleは、2014年にGmailの接続方法を常にHTTPSにするなど、ウェブページとの通信を暗号化するHTTPS接続を積極的に導入しています。記事作成時点の最新版であるChrome 53ではHTTP接続のウェブサイトに接続した場合に感嘆符以外の警告を特に表示していませんが、2017年1月にリリース予定のChrome 56からは、パスワードやクレジットカード情報を送信するHTTPサイトに接続した場合に、感嘆符に加えて「Not secure(安全ではない)」という警告を表示するようになります。

ユーザー調査によれば、多くのユーザーがHTTP接続を意味する感嘆符マークに気づいていないことが判明しており、また、ユーザーの中には感嘆符マークが頻繁に表示されるため、無視するようになったという声があります。こうしたユーザーのフィードバックに答える形で、警告を表示するようにしたとのことです。

まずはセキュリティを重視するユーザーが多く使用しているシークレットモードで警告を表示し始め、その後に全てのHTTPページに警告を表示する予定です。また、感嘆符と警告文を赤色で表示して、ユーザーの注意を引くように変更していきます。

GoogleはHTTP接続を使用しているウェブマスターに対して、Chrome 56がリリースされてから仕様を変更するのではなく、なるべく早めにHTTPSに変更するよう呼びかけています。GoogleによるとHTTPSへの変更は以前に比べて簡単で安くなっているそうです。

なお、HTTPSへの変更に関するガイドは以下のURLから確認できます。

Encrypting data in transit | Web Fundamentals - Google Developers
https://developers.google.com/web/fundamentals/security/encrypt-in-transit/