HTTPSファーストモードのデフォルト化はすでに始まっています!準備はできていますか? 

現在、ウェブサイトにおいてHTTPS(SSL/TLSあり)の使用は、情報セキュリティの観点から当然の対応事項となっています。 今回は、Googleが数年前から強化しているHTTPS(SSL/TLSあり)セキュリティ施策が、常時適用された場合の注意点について考察してみます。

Chromeの現状

Googleの統計データによれば、Chromeユーザーの90%以上がHTTPS(SSL/TLSあり)サイトを利用していますが、残りの5〜10%は未だにHTTP(SSL/TLSなし)サイトを利用しています。

HTTP(SSL/TLSなし)では通信が暗号化されていないため、データの改ざんやなりすまし、盗聴されるリスクが存在します。Chromeは、安全ではないサイト(HTTP通信)への接続時にURLバーに「安全ではありません(携帯画面)/保護されていない通信(PC画面)」といった警告を表示しますが、この警告だけでは不十分であり、多くの人が気づかないうちに被害を被る可能性があると考えています。

|参考|
httpとhttpsの違いとは|SSLサーバー証明書の確認方法や信頼できるサイトの見極め方

常時SSLとその必要性

「常時SSL化」とは、ウェブサイトのすべてのページをHTTPS化することを指します。
従来は、個人情報を入力するページだけをHTTPSにするのが一般的でしたが、ウェブサイト全体をHTTPS化することで情報通信を暗号化し、ユーザーは安心・安全にウェブサイトの利用をすることができます。

常時SSL化の効果としては、下記のようなことが挙げられます。
 1)ユーザーへの信頼性向上
 2)セキュリティリスクの削減
 3)検索順位(SEO)への影響
 4)ウェブサイト分析への有効活用
 5)リファラ取得
※リファラ:サイト訪問したユーザーが1つ前に閲覧したウェブサイト(ウェブページ)のこと

ホームページ、キャンペーンサイト、採用サイトなど、ウェブサイトは、企業においてユーザーとのタッチポイントを構築するため、極めて重要なツールといえますが、未だにSSL/TLDを利用していないサイトは、5%〜10%ほど存在します。

こうしたサイトにアクセスすることで、ユーザーのプライバシーが侵害される恐れがあるため、Googleを経由するすべてのウェブサイトについてセキュリティを向上することが検討されています。それが「HTTPSファーストモード」のデフォルト化です。

|BRANDTODAY byGMO|
常時SSLは必須に!負荷活提供がビジネス成功の鍵
はじめて学ぶSSLマネジメントまとめ

HTTPSファーストモードのデフォルト化

「HTTPSファーストモード」は、ユーザーがChromeブラウザからウェブサイトへアクセスする際、最初のアクセスを常にHTTPSで通信するというものです。もしアクセスしたサイトがHTTPの場合は警告画面が表示され、ユーザーに継続の確認を求めます。

HTTPSファーストモードは、2023年12月現在、Chromeのデフォルト設定ではOFFとなっていますが、デフォルトでの実装に向けて準備が進行中です。デフォルト化に向け、下記ステップを踏んで実装する予定です。

<GoogleのHTTPSファーストモードに向けたステップ>
1)自動アップグレード
一定のケース(※)を除き、ChromeはHTTP通信のウェブサイトをHTTPS通信に切り替える施策を実行します。
※404エラーのケースや、SSL証明書の期限日が切れているケース等は、HTTP通信のままとなります。
2)安全ではないファイルをダウンロードする際に警告
HTTPSサイトからHTTPコンテンツをダウンロードする際に、警告が表示されるようになります。

このように、段階的に導入を経ることで、ユーザーを安心・安全にナビゲートするセキュリティが確立される見込みです。

|参考|
https://blog.chromium.org/2023/08/towards-https-by-default.html

※HTTPSファーストモードをONに設定する方法
1.GoogleChromeにログインした状態で画面右上にある縦に点が3つ並んだボタン([Google Chromeの設定]ボタン)より「設定」をクリック。
2.左のメニューから「プライバシーとセキュリティ」をクリック。
3.「セキュリティ」をクリック。
4.ページをスクロールすると「詳細設定」の中に「常に安全な接続を使用する」という項目が表示される。

HTTPSファーストモードデフォルト化後の注意点

前述した通り、すでにChromeユーザーの90%以上がHTTPS通信のサイトとなっており、企業担当者においても使用しているウェブサイトはHTTPS通信を使用することが一般的になっていると思います。

一方で、現在も使用しているウェブサイトとは別に、ドメインネームやURLの変更、キャンペーンやイベントなど過去に利用しており、現在は公開していないウェブサイトも存在します。こういったウェブサイトについては、他のサイトに転送させる場合に、「使用していないサイトにコストをかけたくない」「(セキュリティ)意識が低い」といった理由から、転送元のサイトはHTTP通信のままにしているケースが多くみられます。
(HTTPからHTTPSに転送設定されているケース)

HTTPSファーストモード デフォルト化が施行されると、HTTP通信のサイトは警告表示が出てしまい正常に転送されないため、SEOへの悪影響が懸念されます。また、警告表示によりユーザーの信頼性が低下するリスクもあります。

「お客様が見る今のウェブサイトだけをHTTPSにすることで十分」という考え方ではなく、ユーザーが安心してアクセスできる環境を整えるために、過去に使用していたウェブサイトの転送設定も忘れずにHTTPS化を行うことをおすすめします。

総括

Chromeは積極的に「HTTPSファーストモード デフォルト化」に向けて施策を進めており、「HTTPSファーストモード」の完全な実装も時間の問題です。”ブランドセキュリティ”といった視点からも、過去に使用していたウェブサイトも企業の資産であるため、対策をきちんと講じるべきです。
まだ、HTTPS設定していないウェブサイトがあれば、早急に「HTTPS転送設定」することを推奨します。

GMOブランドセキュリティでは、SSL対応・HTTPS転送設定サービスを提供していますので、興味のある方・対応を検討されたいという方はぜひご連絡ください。

毎月お送りしている【ドメインニュース】でも、HTTPSファーストモードについて触れています。是非こちらもご覧ください👇

|引用サイト|
https://blog.chromium.org/2023/08/towards-https-by-default.html
https://forest.watch.impress.co.jp/docs/news/1524675.html
https://www.bingo-cms.jp/archives/newsletter20211006.html