Google.comは、数年前からHTTPS暗号化をデフォルトで採用した最初の主要オンラインサービスの一つです。現在、同サイトはHTTP Strict Transport Security(HSTS)機能を追加しており、これによりユーザーは暗号化されたチャネルを経由しない限りGoogle.comサイトにアクセスできなくなります。Googleはまた、YouTube.comもHSTS保護を導入すると発表しました。
通常、ユーザーはブラウザのアドレスバーにドメイン名を入力してサイトにアクセスします。しかし、ドメイン名の前に「https://」を付けることはあまりありません。そのため、ブラウザは暗号化されていないサイトへ誘導します。HTTPS暗号化を使用しているほとんどのサイトでは、「https://」を付けずにサイト名を入力した場合でも、自動的に暗号化されたサイトにリダイレクトされます。
問題は、攻撃者がリダイレクトを悪用できる小さなチャンスがまだ残っていることです。また、攻撃者はSSL保護を解除し、接続をHTTPにダウングレードすることも可能です。
HSTSポリシーは、ユーザーがサイトに初めてアクセスした後、暗号化されたHTTPSチャネル経由でのみウェブサイトにアクセスできることを保証します。訪問者のブラウザは、サイトがHSTSを使用していることを記憶し、ヘッダーの有効期限が切れるまで、そのサイトへの接続はHTTPSのみに制限されます。
Google.com の HSTS ヘッダーの有効期限は、現時点では 1 日のみとなります。これは、Google が変更の実験を継続しているためです。訪問者は毎日新しい HSTS ヘッダーを受け取り、そのヘッダーの有効期限も 1 日延長されます。この有効期限の制限は理想的ではありません。なぜなら、ユーザーが新しいヘッダーを受け取る前に、攻撃者が Google.com への接続を HTTPS から HTTP にダウングレードするチャンスが毎日存在するからです。
GoogleがHSTSヘッダーの有効期限を(今のところ)これほど短く設定しているのは、何か問題が発生した場合でも、ユーザーがGoogle.comを1ヶ月以上利用できなくなるのではなく、1日で済むためです。同社はまた、昨年のクリスマス直前にこの機能によってサンタトラッカーが機能しなくなった例を挙げましたが、Googleはクリスマスイブまでに修正することができました。今後数ヶ月かけてGoogle.comでより多くの実稼働テストを実施した後、ヘッダーの有効期限を少なくとも1年に延長する予定です。
Googleは、YouTube.comもHSTSで保護すると発表した。これによりセキュリティが強化されるだけでなく、ユーザーのレイテンシも短縮される。同社はさらに、YouTube.comのユーザーの97%に対して、暗号化されたHTTPSチャネルでセキュリティを確保すると付け加えた。Googleは現時点では残りの3%のユーザーを最新のHTTPSで保護することはできないが、新しいデバイスを導入するにつれて、彼らも保護していく予定だ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
