Chromeの強制的な警告表示が2018年7月から開始 | SSLサーバー証明書ならさくらインターネット

Chromeの強制的な警告表示が2018年7月から開始

2017年初頭から Google Chrome ブラウザは、SSLサーバー証明書(以下SSL証明書)を導入していないサイトに対して、アドレスバーによる警告表示を段階的に強化してきました。そして今回2018年7月リリース予定のChrome 68より、SSL証明書を導入していない全てのサイトで「保護されていません」の警告表示が開始されます。

これまでのChromeにおける警告表示とは

本コラムでも何度か取り上げていますが、Googleは非httpsサイトに対する警告表示を段階的に強化しています。

「保護されていません/保護されていない通信」とは
「保護されていません」と表示された時の対処方法

2017年1月から非httpsページにて、パスワードやクレジットカード情報などの入力時に警告が表示されるようになり、10月にはフォームやテキストボックスに文字を入力しただけで警告が表示されるようになりました。これらの施策がさらに1段階強化され、2018年7月よりhttps化されていない全てのサイトに対して警告が表示されます。

世界のhttps使用状況

Googleの調査よると、現在Webサイトのhttps化の状況は以下のようになっています。

  • AndroidとWindowsにてChromeを使用するトラフィックの68%以上はhttps化されている
  • Chrome OSとMacにてChromeを使用するトラフィックの78%以上はhttps化されている
  • 世界のトップ100サイトのうち81サイトがデフォルトでhttps接続をしている

参考:Google Security Blog

このように世界では約7~8割のトラフィックがhttps化されています。ところが、2018年3月現在のWindows版Chromeのトラフィックを見ると、アメリカでは80%がhttps化されているのに対して、日本では60%に留まっています。これはブラジル、ドイツ、フランス、インドネシア、インド、日本、メキシコ、ロシア、トルコ、アメリカの中で比較した場合、日本のhttps使用状況が最も低く、普及が遅れていることがわかります。

参考:Google 透明性レポート

日本での普及が遅れている理由は、導入コストの問題や必要性の浸透度が低いことなどが考えられますが、定かではありません。何にせよ、日常的に通信を行う現代では、安全な通信のために必要なものであることに変わりありません。

警告表示を回避するには?

現状、非httpsサイトを運営している方が警告表示を回避するには、サイトを常時SSL化(サイト内すべてのページをhttps化)する以外の方法はありません。以前まではパスワード入力や入力フォームがなければ問題なかったものが「https化されていないサイトすべて」に警告が出るようになってしまうため、常時SSL化が必須となります。本コラムでも常時SSL化に関する記事を掲載していますので、ぜひ参考にしてみてください。

常時SSL化とは

あなたのサイトは大丈夫?

現在配布されているChrome 65でも、シークレットモードを利用すると警告表示の確認ができます。Chromeの設定からシークレットモードを開き、自分のサイトにアクセスしてみてください。非httpsサイトへアクセスすると、OSにより異なりますが「保護されていません/保護されていない通信」のどちらかが表示されます。SSL証明書を導入しているにも関わらず、サイト内の一部コンテンツが非httpsになっている場合、アドレスバー上はhttpsと表示されますが「保護された通信」の表示は出ません。完全にhttps化されている場合、「保護された通信」が表示され、EV証明書の場合は組織名が表示されます。基本的にはこのシークレットモードと同様の内容がChrome 68から通常仕様として適用されると考えられます。

今後の展望について

さて、各所で「常時SSL化に待ったなし!」と話題にされてきましたが、本当に待ったなしの状態となってしまいました。この先、Chromeの警告表示はどうなっていくのでしょうか。現在は「保護されていない通信」はグレー文字で表示されていますが、これが赤字になったり赤斜線がついたりといった、さらなる警告表示の強化が考えられます。最終的にはhttps化されていないサイトは、エラーが表示されて閲覧できなくなるかもしれません。

現在の「保護されていない通信」というアドレスバーへの警告表示は、ページ内のフォーム入力を開始したときに初めて表示されます。アドレスバーに視線が向いていないため、意外と気づかなかったという方も多いかもしれません。ところが、Chrome 68ではサイトが表示されたときにすでに「保護されていない通信」が表示されているため、警告に気づいて不安に思うユーザが増えると思われます。その文字がさらに目立つようになると考えると、まさに「待ったなし」の状況であるということが理解できると思います。

さくらのSSLでは年間972円(税込)から利用できるJPRS ドメイン認証型をはじめ、アドレスバーに会社名を表示できるSureServer EV for SAKURA など幅広いラインアップの証明書を販売しております。さくらのレンタルサーバでは、無料証明書であるLet’s Encryptを利用した無料SSL機能を提供しています。さくらのVPSやさくらのクラウドでは、手軽にLet’s Encryptを導入できるスタートアップスクリプトを提供するなど、Webサイトのhttps化に向けた取り組みを行っています。この機会にぜひSSL証明書の導入をご検討ください。

最終更新日:2018.4.2
記事一覧へもどる

お使いのブラウザでは、さくらのサービスやWebサイトがご利用できなくなります。

安全な通信のため TLSv1.2 に対応したバージョンへのアップグレードをお願い致します。
詳しくは TLS1.0/1.1無効化についてのお知らせをご覧ください。