本文へスキップします。

サポートデスクからのお知らせ
RSS配信  

「Chrome」がHTTPSを標準設定に

2023/08/22

Web関連トピックス

Googleが公式ブログにてHTTPSファースト モードを標準設定にすることを目指すと発表いたしました。
具体的にはGoogle Chromeは「http://」から始まるウェブサイトにアクセスしようとしたときに、自動的に「https://」から始まるアドレスに切り替えてアクセスするようになります。

Towards HTTPS by defaultより引用

Automatic upgrades

Chrome will automatically upgrade all http:// navigations to https://, even when you click on a link that explicitly declares http://. This works very similarly to HSTS upgrading, but Chrome will detect when these upgrades fail (e.g. due to a site providing an invalid certificate or returning a HTTP 404), and will automatically fallback to http://. This change ensures that Chrome only ever uses insecure HTTP when HTTPS truly isn't available, and not because you clicked on an out-of-date insecure link. We're currently experimenting with this change in Chrome version 115, working to standardize the behavior across the web, and plan to roll out the feature to everyone soon. While this change can't protect against active network attackers, it's a stepping stone towards HTTPS-First mode for everyone and protects more traffic from passive network eavesdroppers.

HTTPSファースト モードとは

これまでウェブサイトのURLは「http://」から始まるものと「https://」から始まるものがありました。http:// のサイトは、情報が暗号化されていないため、例えばログイン情報などを送るときに、のぞき見されてしまう危険性がありました。

HTTPSファースト モードの影響

今回の変更により「http://」のサイトにアクセスしようとしても、Chromeが自動で安全な「https://」の方を探してくれるようになります。
知らず知らずのうちに危険なサイトにアクセスしてしまうリスクが減ります。またサイトがSSL化されていないサイトについては、アラートを出すことがあります。

結果、httpのままでサイトにアクセスすると「サイトへの接続が安全ではない」と表示され、ブロックされてページが全く表示できなくなる可能性があります。

そのため、ウェブサイトが安全でないと、判断されると下記問題が起きる可能性があります。
  • ユーザーがサイトを不安に感じ、サイトから離脱してしまう

    • →サイトが安全でない状態(「http://」で始まるURLなど)だと、訪れたユーザーは不安を感じ、すぐに他のサイトへ行ってしまうかもしれません。特に個人情報の入力が必要なサイトでは、安全性が確保されていないと誰も情報を入力したがらないでしょう。これではせっかくサイトに来てくれたユーザーを失うことにつながります。

  • 検索エンジンの表示順位が下がってしまう

    • →Googleなどの検索エンジンは、安全なウェブサイトを高く評価する傾向があります。そのため、サイトが安全でないと、検索結果での順位が下がり、より多くの人に見てもらえるチャンスを逃してしまう可能性があります。

経済産業省が管轄するIPA(情報処理推進機構)でも下記のようにSSL化(HTTPS化)を強く推奨しております。ユーザーの情報を守り、安心してインターネットを使えるようにするための国の取り組みでもあります。

TLS暗号設定ガイドライン
プレス発表 サーバーの構築者、管理者等向けの「TLS暗号設定ガイドライン」を公開より引用
TLS1.3の採用及びSSL3.0の禁止に伴い、一段高い安全性を各設定基準に要求
既存のSSL/TLS暗号設定ガイドラインを利用している場合は、最新版の要求設定に基づいた見直しを行い、必要に応じた設定変更を推奨します。
もしSSL化が済んでいない場合には、ユーザーからの信頼してもらう為にも常時SSL設定を早急にご検討ください。

 

外部リンク
Towards HTTPS by default(Google)
Increasing HTTPS adoption(Google)
すべての「Chrome」をHTTPSファーストに、Googleが本腰を入れる(窓の杜)
TLS 暗号設定 ガイドライン(IPA)
WebサイトのSSL化とは?導入の必要性やメリットについて(弊社コーポレートサイト)

一覧へ戻る

【全】footer_ISO
【全】footer_Add