【HTTPは危険!?】いよいよChromeが非暗号化のすべてのサイトに警告表示

モバイル・IT

スクリーンショット_2018-07-12_19.24.02.png

今月24日に配信される予定の「Google Chrome68」では、
「http:// 」から始まるサイトなど、暗号化されていないWebサイトは「ⓘ保護されていない通信」と表示されるようになるそうです。

スクリーンショット_2018-07-12_18.47.07.png

現在は、パスワードや個人情報などを求めるフォームで、暗号化に対応していない場合のみ上の画像のような警告が表示されますが、これからはどんな形式のサイトでも表示されるようになります。

Googleは、過去にも常時SSL化(TLS化)のサイトを検索結果で優遇する発表を行っていて、暗号化されていないサイトには厳しい姿勢を見せています。

昔は、サイトを暗号化することは、お金のかかることでしたが、
Let's Encryptなど、無料や非常に安価で、公的な暗号化のための証明書が発行できるようになったのも背景にあると思います。

スクリーンショット_2018-07-12_18.55.11.png

今回のアップデートでは、灰色がかった表示ですが、いずれは赤色の警告表示にして、より目立たせる計画があるそうです。


GoogleのChromium公式ブログによると
Chromeを使用した通信のうち、AndroidとWindowsの合計の68%以上、Chrome OSとMacの合計の78%以上が暗号化されていて、上位100サイトのうち81サイトがデフォルトでHTTPSを使用しているそうです。

>Chromium Blog: A secure web is here to stay
https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html


【このアップデートのメリット・デメリットを考えてみました】
<メリット>
・非暗号化による危険性の周知
・暗号化の普及に貢献

暗号化されていない通信は、悪意のある中継サーバーによって盗聴や改ざんの以外に遭う危険性がありますが、一般人にはあまり周知されていません。
そのため、このアップデートにより、危険性を多くの人に知ってもらうきっかけになるのではと思います。
その結果、多くのWebサイトでより一層暗号化が普及すると思います。

<デメリット>
・非暗号化サイトのアクセスが減る
・古き良きサイトが知られなくなる
・LAN内でも表示され混乱!?

暗号化の普及が進んでいるとはいえ、個人サイトなどでは、非暗号化のサイトが多く存在します。そういったサイトのアクセスが減ったり、最近は手が加えられていない物の、優良とされるコンテンツの価値が薄まっていったりするのは、少しさみしいです。
また、LAN内では、しっかりと設定を行ってさえいれば、通信に暗号化を施していなくても、盗聴・改ざんの危険性はかなり少ないですし、LAN向けのドメインやIPアドレスに対して、公的な暗号化の証明書を発行する事はほとんどありません。そのため、ルータやプリンタなどのLAN向けの設定サイトにアクセスしたり、PC内に置かれたコンテンツが危険だと勘違いされてしまい、混乱が起こる可能性があります。


今回のGoogle Chromeの施策について、どう思われるか、ぜひ皆さんの意見をコメントでお聞かせください。


  • はてなブックマークに追加

Banner mineo site 320x50

Banner support site 320x50

コメント 12

世の流れかと。
LAN内は、別のブラウザ使えば問題かと。

余計なお世話じゃ…
情弱が混乱するわ!

「サイト」が正しいと勘違いするおそれがある。
「ブラウザ」と「サイト」の通信がSSL化されているだけです。

証明書の警告は既にやってますね
ご丁寧に既に弱くなったMD5とSHA-1にも

あと、下品な広告のサイトブロックも、、、(これは設定で解除可能)

クラッキングされ踏み台にされたサイトなども警告が出易くなるので良い傾向だと思います。
古い管理されて無いサイトは幾ら有益でも危険です。
WEBサイトを作る側も意識して早急に対応する事が大事です。

私もmineo最適化事件を機に対応しましたw

>>また、LAN内では、しっかりと設定を行ってさえいれば、通信に暗号化を施していなくても、盗聴・改ざんの危険性はかなり少ないですし、

『「WANは危険。LANは安全。」の考え方はもう無理な時代になった。』というのが、数年来のトレンドですねえ。
昨2017年にWannaCryで大きな被害が出てしまったので、この流れを決定的にしてしまいました。
『もう誰も信じない』な時代になってきましたねえ。


警告表示な対応は、Googleには先人を切っていくだけの技量も体力もあるのでガンガンやってほしいです。

※ケイオプティコムさんは古い暗号方式の廃止やったのかな?まさかまだやってないなんてことは…

つまりChrome使わないと危険ですよ!
と過大広告の意味も含めてる感じがビンビンです(;^ω^)

それ言ったらWiFiはVPN使わないと危険です!
こちらが正論になりますね(´・ω・`)

≫amiyyさん
LANが必ずしも安全とは言い切れませんけど、ある程度の知識があれば、対策は出来るし、不審なアクセスは、設定により遮断出来ます。
また、LAN内なら最悪、感染源を物理的に遮断出来ますので、もしウイルス感染しても、被害を最小限に抑えられると考えています。

しかし、WAN上にある、自分に管理権限が与えられていないサーバーなら、ウイルスを検知しても、自分からはそのサーバーに対する処置など到底不可能です。
そしたら、最悪インターネット接続自体を諦めざるを得ません。

しかも、ウイルスの話ならば、SSL化していても相手先が感染していれば、結局意味が無いのでそこは、LANでもWANでも変わらないのでは無いかと思います。

WannaCryがあそこまで広まったのも、マイクロソフトは早急に対策したのに、そのパッチを適応しない(更新プログラムを実行しない)パソコンが多くあった事が最も大きな原因のようですね。

インターネットに接続するなら、更新プログラムをできるだけすぐにインストールする。
更新プログラムを入れないなら、インターネットには繋がない。
これは基本中の基本ですね。

≫玉ねぎ部隊
VPNも接続先が、怪しいところだったりウイルス感染してたりする場合は、結局意味ないですね。
Wi-Fiも、正しく設定されていればさほど危険ではありません。しかし、これもウイルス感染などの危険も孕んでいます。

どの方法も一長一短です。

≫玉ねぎ部隊さん
敬称が抜けておりました。申し訳ありません。

コメントするには、ログインまたはメンバー登録(無料)が必要です。