Googleは、今秋からChromeのバージョン69と70で、HTTPSページとHTTPページのセキュリティインジケーターを変更すると発表しました。ユーザーがデータを入力する際に、HTTPSウェブサイトは「保護されています」と表示されなくなり、HTTPページは赤いフォントで「保護されていません」と表示されます。
ウェブセキュリティ指標の進化
ここ数年、ChromeとFirefoxは、ウェブサイトのアドレスの横に緑色の「セキュア」ラベルが付いた南京錠アイコンを表示するなど、ウェブ開発者にささやかなインセンティブを提供することで、HTTPS暗号化の採用を促してきました。これは、ユーザーとサーバー間のデータ交換が暗号化されるため、ユーザーがこれらのウェブサイトをより信頼できるようにするためでした。
それ以来、Mozilla、EFF などが支援し、誰でも無料で HTTPS 証明書を利用できる Let's Encrypt プロジェクトのおかげで、さらに多くの Web サイトが暗号化を採用するようになりました。
Googleは現在、ユーザーはウェブが「デフォルトで安全」であると期待すべきだと考えています。したがって、ユーザーは訪問するウェブサイトが安全かどうかを判断するために、明るい緑色のラベルや南京錠の表示を必要とすべきではありません。
Chrome 69で「セキュア」ラベルが廃止へ
今年9月にリリース予定のChrome 69以降、Googleブラウザでは緑色の「Secure」という文字が消え、南京錠のアイコンも緑色から灰色に変わります。Googleによると、最終的にはChromeでも南京錠アイコンが使用され、HTTP、HTTPS、その他のラベルや記号は表示されず、ウェブアドレスのみが表示されるようになるとのことです。
Googleは、HTTPS暗号化を使用しているというだけで、インターネットユーザーにサイトが「安全」だと信じ込ませたくないのかもしれません。サイトがHTTPS暗号化を使用していても、サーバーのセキュリティ対策が不十分なためにハッカーにアカウントデータをすべて盗まれてしまう可能性があります。HTTPS暗号化は、サイトへの接続が安全であることを保証するだけで、企業のサーバー上でデータがどの程度安全であるかについては何も示していません。
Chrome 70で「保護されていません」という警告が赤字で表示される
Chrome 56では、ログインページに灰色の「保護されていません」という警告が表示されるようになりました。今秋リリース予定のChrome 70からは、HTTPページでデータを入力すると赤色の「保護されていません」という警告が表示されるようになります。また、HTTPページには常時灰色の「保護されていません」というラベルが表示されます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleの発表で最も物議を醸した変更点は、ユーザーはウェブが安全であると期待すべきだというGoogleの声明でしょう。HTTPS、PGP、S/MIME、その他の暗号化・セキュリティプロトコルのいずれであっても、ユーザーのデータ保護に使用されているプロトコルを隠すことは、ユーザーにとって不利になる可能性があります。結局のところ、これは透明性の問題でもあり、ユーザーは自分のトラフィックとデータがどのように保護されているかを知る権利があります。
Googleは、「安全」ラベルと南京錠がなくなった後も、ユーザーは同じサイトがこれまでと同様に安全だと思い続けるだろうと予想しています。しかし、ユーザーは数十年にわたり、特に明記されていない限り安全ではないと認識するように訓練されているため、必ずしもそうとは限りません。
