Chrome 56 と Firefox 51 が非HTTPSでパスワードを収集するページに警告表示

[レベル: 中級]

非HTTPS、言い換えるとHTTPで、パスワードを送信するページにGoogle Chrome 56 と Firefox 51 では警告が出るようになりました。
Chromeでは、クレジッドカード情報を非HTTPSで送信するページも警告の対象になります。

GoogleもMozillaも事前にアナウンスしていた仕様変更を遂に実施しました。

• より安全なウェブを目指して – Google Developers Japan
• Communicating the Dangers of Non-Secure HTTP – Mozilla Security Blog

Search Consoleに届くセキュリティ警告

パスワードやクレジッドカード情報をHTTPで送信するページが存在しているサイトには、セキュリティ警告がSearch Consoleに届くことがあります。

ブラウザの警告サイン

対象になるページには警告のサインがブラウザに表示されます。

Chrome

Chromeでは、「保護されていない通信」というラベルがアドレス欄のURLの前に表示されます。
ラベルをクリックすると説明を見ることができます。

Firefox

Firefoxでは、赤色の斜線が入った鍵マークのアイコンがアドレス欄のURLの前に表示されます。
Chromeと同じようにクリックすると説明を見ることができます。

対処方法

警告の対象になってしまった場合はどのように対処したらいいのでしょうか？

3つの対処方法を紹介します。

(1) HTTPSへ移行する

最も望まれる対処方法です。
サイトを完全にHTTPSへ移行すれば問題は完全に解決します。

今はパスワード（とChromeではクレジッドカード情報）だけをHTTPで送信するページだけが対象ですが、ChromeもFirefoxもいずれはすべてのHTTPページに対して警告を出すようにする計画です。

現状のように淡白な色のラベルではなく、「危険」を想起させる赤色のラベルになるかもしれません。

Chromeでは、利用時間の3分の2がHTTPSで接続されています。
Firefoxでは、表示されるページの半数以上がHTTPSになりました。

HTTPSの普及が他国に比べると日本ではかなり遅れているようなので、気付きにくいかもしれませんが、ウェブのHTTPS化は着実に進行しています。
いずれはHTTPSにしなければならない時がやってくるでしょう。
追い込まれた状況で移行に着手するよりは、余裕がある今始めるべきだというのが僕の個人的な推奨です。

(2) パスワード送信ページだけHTTPSにする

「サイト全体のHTTPS移行は、綿密な計画と準備が必要だし時間もかかる」こういった懸念があるのならば、とりあえずパスワードを送信するページだけをHTTPS化するという策もとれます。
とはいえ、1ページ、2ページだけをHTTPS化することが全体移行に比べて楽かと言ったら、そうでもないケースもありそうです。

(3) 無視する

セキュリティ警告はブラウザの仕様変更です。
検索エンジン (Google) の検索システムの変更ではありません。無視しても、クロールやインデックス、ランキングには悪い影響を与えません。
検索結果の観点だけから見れば、そのまま放置することだってできます。

とはいえ、怖がったユーザーはそのサイトをすぐに離れるかもしれないし、二度と訪問しないかもしれません。

なお、コメントを投稿する際にパスワードを入力させるブログがあるようです。
そういったブログでは、パスワード欄そのものを削除すれば警告の対象から外れます。

HTTPならHTTPSへの移行を念頭に

1つ目の対処方法でも触れたように、HTTPSへの移行は避けては通れないでしょう。
脅すつもりは毛頭ありませんが、そういう時代なのです。

大規模サイトではHTTPSへの完全移行は簡単なことではないかもしれません。
だからこそ切羽詰まってから着手するのではなく、計画的に段階的に進めてほしいと思うのです。