ニュース

すべての「Chrome」をHTTPSファーストに、Googleが本腰を入れる

自動HTTPSアップグレード、HTTPダウンロードの警告、HTTPSファーストモードの拡大を実施

2023年8月18日 16:57

HTTPサイトを開いたときの警告

 米Googleは8月16日(現地時間)、公式ブログ「Chromium Blog」で「Towards HTTPS by default」と題する記事を公開した。「Google Chrome 94」から搭載されている「HTTPSファーストモード」(HTTPS-First Mode、HTTPS-Onlyモードとも)をすべての環境でデフォルト有効化することを目指す。

 HTTPS(HTTP Secure)は、HTTPサーバー・クライアント間のデータ通信(トラフィック)をTLSで暗号化する仕組み。URL(URI)の先頭に「https://」と書かれている場合は、トラフィックが第三者に盗聴されていないこと、転送されるデータが改竄されていないこと、第三者によるなりすましが行われていないことが保証される。つまり、暗号化されていないHTTP接続よりも安全だ。

 同社によると、過去数年間における「Chrome」ユーザーのナビゲーションの90%以上は、すべての主要プラットフォームでHTTPSサイトであるという。

 しかし、いまだに5~10%のトラフィックはHTTPのままであり、盗聴や改竄に対して無防備な状態だ。「Chrome」でHTTPサイトを閲覧すると、アドレスバーに接続が保護されていないことを警告するラベルが表示されるが、このラベルが表示されたときにはすでに被害が及んでいる可能性がある。

 そこで、対策として有望視されているのが「HTTPSファーストモード」だ。この機能は[プライバシーとセキュリティ]設定ページで[常に安全な接続を使用する]というオプションをONにすると有効化され、ユーザーがHTTPサイトを開こうとするとそこに割り込み、警告ページを表示する。ユーザーが明示的に許可しない限り、リンク先のHTTPサイトは表示されない。

「HTTPSファーストモード」の設定。[プライバシーとセキュリティ]設定ページで[常に安全な接続を使用する]というオプションをONに
ユーザーがHTTPサイトを開こうとするとそこに割り込み、警告ページを表示

 同社は最終的に「Chrome」でこのモードを既定で有効化したい考えだが、すべての環境でそれを実施するにはまだ準備が整っておらず、時期尚早といえるだろう。そのため、目標に向けたマイルストーンが設定された。

自動アップグレード

 WebサイトはHTTPSに対応しているにもかかわらず、それ対するリンクが「http://」のまま更新されていないというケースは少なくない。そこで、「Chrome 115」ではすべての「http://」ナビゲーションを「https://」へ自動でアップグレードする仕組みがテストされている。

 この機能により、古い安全でないリンクをクリックしても、WebサーバーがHTTPS接続をサポートしているならば、そちらが利用されるようになる。能動的な攻撃に対しては効果がないが、古いリンクを踏んだユーザーから盗聴を試みる受動的な攻撃に対しては有効で、「HTTPSファーストモード」への足がかりになることが期待されている。

安全にダウンロードされないファイルに関する警告

 「Chrome」ではHTTPSサイトからHTTPコンテンツをダウンロードする、いわゆる「混合ダウンロード」を禁止しているが、この取り組みをさらに発展させ、HTTPコンテンツのダウンロードそのものに「安全でない」として警告を発するようになる。

HTTPコンテンツのダウンロードを警告

 この警告は、9月中旬から展開される予定。「HTTPSファーストモード」が有効になっていない限り、リスクを承知の上でHTTPコンテンツをダウンロードすることは可能だ。

「HTTPSファーストモード」による保護を拡大

 加えて、「HTTPSファーストモード」の適用範囲拡大を図っていくとのこと。まだ実験中・検討中のものも含めて、以下のケースで「HTTPSファーストモード」が自動で有効化される可能性がある。

  • 政治家など、サイバー攻撃で狙われやすいユーザーを特別に保護する「高度な保護プログラム」(Advanced Protection)にアカウントを登録し、「Chrome」にサインインしている場合、「HTTPSファーストモード」がデフォルトで有効化される
  • 「シークレット ウィンドウ」(Incognito Mode)で「Chrome」を利用している場合、「HTTPSファーストモード」をデフォルトで有効化する予定
  • HTTPS接続で利用するのが一般的であると認識されているWebサイトで、「HTTPSファーストモード」による保護を自動で有効化する実験を実施
  • ごくまれにしかHTTP接続を使用しないユーザーに対し、「HTTPSファーストモード」による保護を自動で有効化することを検討

 以上の施策を正式提供前に試してみたい場合は、試験機能画面(chrome://flags)で関連するフラグを有効化してみるとよい。エンタープライズ向けの制御ポリシーも提供されている。

試験機能画面(chrome://flags)