ちょっと前になりますが、以下のような記事が紹介されていました。
・Google Chrome、全ユーザーに対しHTTPからHTTPSへ自動変更(マイナビニュース)
この記事は、Bleepingcomputer.com が報じたものを紹介しているものです。私自身、この記事を読んだ感想としては、とうとうきたかぁ〜.... という程度の感じでしたが、この影響はじわじわと広がりつつあるようです。
そもそも、Google がこの機能を実装したのが、Ver.94 の段階なので、すでに2年以上前の話。
その当時のリリースノートや、それに関連したブログでも状況のように取り上げられてました。
今まさに起きていることが、このブログでも当時から報じられているわけです。さらに "タイムライン" ところで、この機能がリリースされてその後どう展開されているか?についても一目瞭然です。
Ver.94からと冒頭でも書きましたが、実のところ、2020年11月からスタートしてたんですね.... そして延期されて、結果、Ver.94から実装されるようになった。そんな経緯のようです。
そして、2023年9月の Google Chrome Ver.117 Stable版のリリースで一般に展開されるようになっているようです。
【"http" と "https" ってどう違うの?】
まずは簡単に、"http" と "https" の違いについて。
上記は、今、ご覧いただいているうちのブログですが、アドレスの右側に鍵のマークがついていて、鍵のマークをクリックすると "接続がセキュリティで保護されています" と表示されています。こういうWebサイトは問題ないわけです。
一方この部分に鍵のマークがなく、"セキュリティ保護なし" と表示されているサイト。
クリックすると、"このサイトへの接続は安全ではありません" と表示されています。こういうサイトは、現在アクセスできていても今後はどんどんブロックされて Google Chrome では開けなくなってしまいます。
こうしたサイト、実はたくさんあったりします。私が知る限りでは、学術会系のサイト、何らかの予約やショッピングサイト、学校関係のWebサイトなど多方面にわたっています。
-- http と https:
この設定は情報を提供する側の問題なので、ユーザーがどうこうできるものでもありません。根本的には Web サイトを運営する側の対応が必要になります。
この影響が出始めて、レンタルサーバーを運営している SAKURA Internet では、
その問い合わせも多いようで、その "カスタマーセンターからのお知らせ" の中で上記のようにサイト管理者に対して、設定の変更を促すお知らせを提示しております。
それにしても、Google は、2年以上前から告知しているのに、何もしてこなかったサイト運営側の怠慢といってもおかしくない事態ともいえるんでしょうね。
-- 個人情報を守るためのもの:
http というのは、インターネットを介してWebページを表示させるための通信規格(プロトコル)になります。なので、Webサイトにアクセスすると http://〜 と表示されるわけです("http://" の部分が省略されて表示されないケースもあります)。
http : Hypertext Transfer Protocol の略になります。
ではこれに "s" がついて、"https://〜" となった場合どう違うのか? "セキュア" の "S" がついているわけで、これはその通信に、SSL(暗号化通信)をすることで、そのやり取りする情報が容易に盗み見されたり、改ざんされたりしないよう暗号化したセキュリティを高めた通信規格になります。
** Web サイトを訪れた人の情報を盗み見したり、改ざんすることを、専門用語では "中間者攻撃" とも言います。
https:Hypertext Transfer Protocol Secure の略になります。
Google Chrome に限らず、Microsoft Edge でも、Firefox でも基本的にはどんなブラウザでも、以前より、こうした https による安全な情報のやり取りを推奨しているわけです。
次回改めて取り上げますが、Microsoft Edge についても、以下のような Windows Blogs にあるように触れられています。
例えば、Yahooショッピング、Amazon、楽天などのオンラインショッピングや、旅行やイベントなどのチケットの予約や購入など、こうした際には必ずと言っていいほど、個人情報のやり取りがありますし、クレジットカードの情報などのやり取りがあるわけですから、逆に言うとこうしたセキュリティがしっかりしていないと怖くて何もできませんよね?
また企業のサイトなどで一方的に情報を提供しているようなだけのWebサイトだったとしても、お問い合わせフォームが用意されていたりすると、そうしたものを通じてやり取りされる情報に対しても、いわゆる中間者攻撃に合わないようにしっかりした対策が必要になってきます。Cookie を通じて情報が抜き取られてしまうなんてこともあるわけです。
なのでちゃんとしたサイトは当然のことながらこうしたことには敏感に対応しているわけです。また必ず対応してもらわないと困るわけです。
でもこのご時世、こうしてブラウザ側が強制的に対応してくるとなると、結果すべてのサイトがセキュアサイトになっていかないといけないわけですね。
次回、Part 2 では、その対策についてみていきます。
<参照>