[レベル: 上級]
Google は HTTPS を Chrome で、デフォルトの通信に移行する計画です。
これは、いくつかの取り組みを通じて行われます。
HTTPS への自動アップグレード
Chrome は、リンクが http:// を指定していても、自動的に https:// に変換して接続を試みます。
HSTS と同等の処理を Chrome が実行します。
ただし HSTS とは異なり、HTTPS へのアップグレードが失敗した場合はフォールバックとして HTTP で接続します。
これにより、HTTPS を利用できない場合にのみ HTTP を使用することが保証されます。
現在、Chrome 115 でこの変更を試験運用しており、ウェブ全体での動作を標準化し、すぐにすべてのユーザーに対してこの機能を最終的にはロールアウトする計画です。
安全でないダウンロードに関する警告
安全でない HTTP 接続を経由して高リスクなファイルをダウンロードする前に警告を Chrome が表示するようになります。
安全ではない HTTP 経由でダウンロードしたファイルには Chrome の保護機能を回避する悪意のあるコードが含まれており、デバイスを侵害する機会を攻撃者に与えてしまうからです。
こちらは、アナウンス記事に掲載されている警告ダイアログです。
警告メッセージの日本語に訳すと次のようになりまうす。
このサイトは安全な接続を使用していないため、ファイルが改ざんされている可能性があります。
この警告はリスクをユーザーに知らせるものです。
ユーザーはリスクを受け入れれば警告を承諾してダウンロードできます。
HTTPS-First モードがオフの場合は、画像・音声・動画などの比較的安全なファイルのダウンロードでは警告が表示されません。
ダウンロード警告のロールアウトは 9 月中旬頃を予定しています。
より多くのユーザーへの HTTPS-First モード保護の拡大
すべてのユーザーに対して HTTPS-First モードを有効にすることが Google の最終目標です。
この目標を達成するために、HTTPS-Firstモードの適用範囲を拡大します。
- 高度な保護機能プログラムに登録しているユーザーには HTTPS-First モードを有効化
- よりセキュアにするためにシークレットモードでの HTTPS-First モードをデフォルト化する予定
- HTTPS 経由で通常アクセスするサイトでの HTTPS-First モードの自動有効化をテスト中
- HTTP 接続をほとんど使用しないユーザーへの HTTPS-First モードの自動有効化を検討中
ウェブのセキュリティ強化に向けて Google は継続的に取り組んでいます。
HTTPS への完全な移行を Chrome チームは目指しており、そのための様々な施策を打ち出しています。
HTTP から HTTPS への自動アップグレードや安全でないダウンロードの警告表示、HTTPS-First モードの保護対象拡大など、HTTPS の採用を段階的に推し進めることで、すべてのユーザーが安心してウェブを利用できる環境を整えようとしていることがわかります。
なお、ここで紹介した機能は、Chorme の試験機能である chrome://settings/security を有効にすると先取りできます。