2017年1月より非暗号化(HTTP)のログインなどの認証ページに対して、Chromeは警告を表示

security_1097

米国時間9月8日のGoogle Chromeのセキュリティチームの発表によると、Chromeは2017年1月よりログインやパスワード情報などを扱うフォームが設置されたページにおいて、ブラウザ上に警告を表示するということです。

実際の表示は下記画像のようになります。

画像の例は英語表記で分かりにくいかもしれないですが、Not secure(安全ではない)という言葉がURLの横に明確に表示されていることが分かります。

これにより、もし既存のウェブサイトのログインフォームやその他パスワード情報などの入力を求めるページがHTTPのままでは、2017年1月以降の多くのChrome利用者からは「危険なサイト」というような見え方になってしまいます。

これは、どれくらいに恐ろしいことなのか

まず、注目したいのが全世界のChromeのシェアである。Chromeのシェアは下記データが示しているように、世界でトップレベルです。

NETMARKETS SHAREによる2016年8月時点でのデスクトップブラウザのシェアでいうと、ブラウザ利用者のうち全世界の約43%がGoogle Chromeを使用しています。

また、デスクトップ版Chromeでは、バージョンが最新版でないと、アップデートを促す表示が現れ、最新バージョンへアップデートを促す機能があることも見逃せない特徴です。

また、モバイルおよびタブレットでは、同じく、NETMARKETS SHAREによると、ブラウザ利用者のうち全世界の約35%がGoogle Chromeを使用しています。

もちろん、モバイル・タブレットの分野でもChromeは世界一のシェアを有しています。

このように、デスクトップ、モバイルタブレットにおいてもChromeはブラウザ市場でトップシェアのブラウザです。

いわば市場のリーダー的存在のChromeが先駆的にHTTPS推奨の道へ向かうということで、他社製ブラウザがこの後続くように同様の仕様を盛り込むことは十分に考えられます。

Chromeは長期的に、フォームが存在しないようなHTTPページについても、警告を表示していく方針です。今回の一部ページでの警告表示は、HTTPページへの警告のマイルストーンの第一歩目に過ぎないのです。

いつHTTPページは死ぬのか

暗号化されていないHTTPページの死期はもしかしたら近いのかもしれません。

例えば、SSL証明書のうち、SHA1という形式のものがあります。これは2015年末まで購入可能な形式のSSL証明書であり、2016年内まで使用ができるSSL証明書です。

現在では、SHA1は推奨されない暗号化方式となっており、証明書の購入自体ができなくなっています。

市場的には、間違いなく前述のように、購入可能であり、使用ができる証明書です。しかし、現実的には市場がそれを売っていても、実質ブラウザでは機能しているように見えないことだってあります。

2015年末時点のChrome40において、SHA1証明書を設定していたページは、ChromeのURLの隣に表示されいたアイコンではHTTPのページとなんら変わらない表示で表示されていたこともあります。

Chrome41以降では、有効期限が2016年1月1日を超えるSHA1証明書について、より警告度の意味合いの強いアイコンに変更されています。とにかくChromeについていうと、セキュリティについては厳しいブラウザであり、仮にその時期市場で売られているSSL証明書でも、Chromeのセキュリティチームが「ノー」といえば厳しい警告表示をし、切り捨てるということを実際におこなっています。

(一応、警告は1年前にはありました。ですが現実的にSSL証明書市場の事情には完全に合わせないという判断をChromeのセキュリティチームはしています)。

彼ら的には、1年半も前から警告を始めていたということで、市場と同期を取っていませんでした(取るつもりもなかったのかもしれないですが)。

これからすると、今回のすべてのHTTPS化をしなくてはならない猶予期間は1年半程度はある、と目安に思っていたほうが良いのかもしれません。

Chromeだけではなく、モバイルアプリだってHTTPSに向かって動いている

2016年6月のAppleのWWDCの発表内容によると、iOS9で導入されたATSが有効である場合に、今後HTTPでは通信ができないという制約になります。

こちらのリミットも、Crhomeの件と同じく2017年1月までです。

厳密に、AppStoreへアプリケーションをリリースする際の審査基準にいつ頃からなるのかなど、ATSへの対応義務化についてのレギュレーションは不明です。

日本は特にiOS利用者が多い国として知られているので(2016年7月、Kanterによる統計によるとiOS利用者は約34%)、iOSアプリを扱う方はATS化の対応も見逃せない内容となっています。

今後、Webはより一層暗号化が進む。そして、Web暗号化の流れは思った以上に早いのかもしれない

2017年1月は、WebではChrome、モバイルアプリではiOSとで、同時にSSL化が求められます。

本稿ではChromeについて多く触れましたが、モバイルアプリ、iOSのATS対応についても、アナウンスの期間が数ヶ月である点と、リミットが2017年1月である点で、Chromeの警告内容と共通点を感じます。

IT業界におけるグローバル市場の巨人、Google、AppleがWebの暗号化へ大きく舵を取っていくということで、2017年は暗号化元年の年になり、暗号化通信の推奨について、多くのブラウザやアプリプラットフォームが2017年中に追随してくる可能性が高いと予想します。

暗号化通信が分からない、まずはコストをかけずに暗号化通信がどういったものか試したいという場合には、Let’s Encriptのような無料で試せる安全な証明書発行サービスも存在します(Let’s Encriptは運用上で、制約がいくつか存在することに注意してください)。

security_1000

Let’s Encript

暗号化通信時代の幕開けが近いということで、まずはこういったものから少しずつ試していくのも良いのかもしれません。

この記事を書いた人
mmiyauchi_profile
mmiyauchi
インフラ&アプリケーションエンジニア。サーバやミドルウェア、Webアプリケーション開発の情報を日々収集している。最も得意な技術スタックは、Angular JS、Node.js、PostgreSQL。プライベートブログ(http://mmiyauchi.com)でも技術情報を発信中。
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る