Chienomi

Google Chromeが7月のversion 69でSSLを要求

インターネット

どうなるのか

Google Chromeが7月にSSL(HTTPS)でないサイトに対して警告するようになる、という話を聞いたので、現在Developer Buildのversion 69をインストールして試してみた。

内容はIT Mediaの記事が正しかった。 つまり、

  • 従来は「HTTPSサイトは表示」だったものを「HTTPサイトは表示」に変更
  • version 70からはHTTPサイトでのフォーム入力時は警告表示

日経BPの記事をみると、まるでSSL署名が正しくないときのような警告がなされるかのように読み取れるがそんなことはない。

話はこういうことだ。

もともとはHTTPが標準だった。HTTPSであることは特別であり、故に「保護されています」と表示していたわけだ。 しかし、今後はHTTPSが標準であるため、いちいちHTTPSであることは強調せず、HTTPであることは逆にリスクがあることを示す、というわけだ。

この変更は正しいと思う。 対応した環境でブラウジングしているのに、HTTPではなくHTTPSであることで困る、ということは考えにくく、HTTPSであることに対してわざわざ注意を引く必要はない。 むしろHTTPであることはリスキーな状態であり、注意を示しておくべき状況だ。 特にフォーム入力を伴うときは警告すべき状況だといっていい。

状況 現在 version 69 version 70
HTTP 表示なし 「保護されていません」(グレー) 「保護されていません」(グレー)
HTTP + フォーム入力 表示なし 「保護されていません」(グレー) 「保護されていません」(赤)
HTTPS 「保護されています」(緑) 鍵マーク(グレー) 鍵マーク(グレー)

極めて正しいように見える。

GoogleがLet’s Encryptを推進したこととも整合性がとれている。

ただ、それなら「スキームなしでアドレスを入力したときにHTTPでアクセスする」ということはやめるべきだし、 むしろ「http://と指定した場合でもHTTPSを試行する」べきではないのか。

どうすべきなのか

これからは明確にHTTPSが標準となっていき、現在HTTPSに対応していないウェブサイトは「リスキーである」という認知が進むだろう。 これは、事情がわからないユーザーがHTTPの「安全でないサイト」を避ける可能性があるということを含んでいる。

  • HTTPSに非対応はもはや論外。早急に対応すること
  • HTTPSトライはしてくれないので、レガシーデバイスを切り捨てるならHTTPアクセスは301を返すべき
  • HTTPS強制にするにしても、HTTPアクセスを許容するにしても、ヴィジターへの説明はしたほうがよさそう

一応、Mimir YokohamaではHTTPS強制で、HTTPはサブドメインで許容する予定。