非HTTPSサイトに対して安全ではないとGoogle Chromeが警告を表示するようになるかも

[対象: 中級]

Chromeキーホルダー

Google Chrome ブラウザが、HTTPSではないサイトに対して警告を発するように将来的になるかもしれません。

Chromeのセキュリティチームが提案

Chromeのセキュリティチームは、非HTTPSのリソースがセキュアではないことを表示するようにUXを変更する提案をThe Chromium Projectsに公開しました。

HTTPではデータが保護されないことをよりはっきりとユーザーに伝えることが目的です。

2015年に立案し移行に向けての計画を立て始めます。

非セキュアとセキュアの分け方

安全か安全ではないかを、どういう条件のもとでどのように区別し、どんな段階を経て実現していくかを決める必要があります。

提案で挙がっているセキュリティは3レベルです。

  • Secure(安全)−− 正常なHTTPSが有効
  • Dubious(安全でないかもしれない)−− HTTPSとHTTPが混在していたり、大きな問題にならないHTTPSの構成エラーがあったりする
  • Non-secure(安全ではない)−− 正常に機能していないHTTPSと、HTTP

移行へのプロセスは段階を踏むかもしれません。

  1. 非HTTPSに表示なし(現在)
  2. 非HTTPSに「安全でないかもしれない」を表示
  3. 非HTTPSに「安全でない」を表示
  4. HTTPSに表示なし

HTTPSがすべてのサイトで標準になっている4が目指している最終的な目標でしょう。

安全か安全でないかを区別するしきい値も必要です。
そのサイトとユーザーとの“関わり”の比率によって判断する案が出されています。
たとえば、85%よりも高ければ「安全でない」として表示されることはありません。

しかし、ユーザーと“関わり”を何によって定義するかをその前に決める必要もあります。
HTTPとHTTPSのページの比率か、HTTPSとHTTPSの(画像などを含めた)リソースの比率か、ユーザーの滞在時間によるHTTPとHTTPSの比率か、さまざまな基準が考えられます。

検索トラフィックに影響あり?

HTTPSをランキングシグナルに採用したことからもわかるように、GoogleはHTTPSの普及、もっと幅広く言えばウェブのセキュア化を非常に積極的に推進しています。

今回の提案は、ブラウザに「このサイトは安全ではありません」と表示しアクセスすることの危険性をユーザーに知らせるというものです。

安全ではないサイトにユーザーは訪問したいとは思わないでしょう。
検索結果からHTTPのサイトにアクセスしようとしたら、「このサイトは安全ではありません」と表示されたら検索トラフィックに大きな影響が出そうです。

StatCounternによれば、2014年1月〜11月の日本におけるブラウザシェアは下のグラフのようになっています(クリックで拡大)。

2014年1月〜11月の日本におけるブラウザシェア

27〜28%くらいですかね。
Chromeのシェアは今後もっと伸びていくのではないでしょうか。
ちなみに僕のブログは50%がChromeです。

HTTPサイトを対象にするChromeの警告表示は、ウェブサイトがHTTPS化へ移行する大きな原動力になるかもしれません。

将来に向けての提案

もっとも、あくまで提案の段階です。
実装が決まったわけではありません。

実装されるにしてもどのように表示されるかもわかりません。
アドレスバーに小さく表示されるのか、マルウェア警告のように画面いっぱいに警告ページが表示されるのか、表示形態によって影響度も変化してきます。

HTTPSへの移行を念頭に置きながら進展を伺っていきましょう。