2018年10月

企業のITセキュリティ講座

常時SSL化は“当たり前”になる? GoogleがChromeの警告表示変更へ

ライター/吉澤亨史

2018年7月に公開されたGoogleのWebブラウザー「Chrome 68」では、全てのHTTP接続のWebサイトに対し、アドレスバーに「保護されていない通信」と表示されるようになった。これにより常時SSL化がより進展すると思われるが、Googleの発表によると、9月に公開の「Chrome 69」、10月に公開予定の「Chrome 70」と段階的に警告表示を変更する。ここでは今後のChromeの警告表示の変化と、常時SSL化における注意点などを紹介する。

「Chrome 68」における警告表示の変更

2018年7月下旬から、ホームページに関してちょっとした騒ぎが起きている。これは、正規のWebサイトであるのにWebブラウザーのアドレスバーに「保護されていない通信」と表示されるようになったためだ。利用者にしてみれば、普段から利用しているサイトに突然、警告が表示されれば不安になる。サイトによっては、多くの問い合わせがあったという。しかし、これは不具合ではなく、Webブラウザーのバージョンアップによる仕様変更が原因だ。

Googleが提供するWebブラウザー「Chrome」は、7月25日に公開されたバージョンアップ版「Chrome 68」から、全てのHTTP(非SSL / TLS)接続サイトに対し、アドレスバーに「保護されていない通信」と表示するように変更した。HTTP接続とは、WebブラウザーとホームページのデータがあるWebサーバー間の通信が、暗号化されていない状態のことを指す。つまり、何らかの方法でこの通信を盗聴した場合に、利用者がWebブラウザーに入力した内容が第三者に知られてしまう。

Googleは以前からインターネットの安全性を高めることに取り組んでおり、これまでにもHTTPS(SSL / TLS)接続を高速に行える通信規格「HTTP/2」の開発に積極的に取り組んだり、警告を表示する対象の拡大などを行ったりしている。Chromeの前バージョンでは、IDやパスワード、決算情報などを入力するページが暗号化されていない(HTTP接続)場合に警告を表示していたが、今回のバージョンアップでその表示対象を拡大した形となる。

Web業界の認識としても、これまでは個人情報などを入力するページのみHTTPS接続にすればよいという考え方であった。しかし、全てのページをHTTPS接続にする「常時SSL化」を推進するGoogleとしては、常時SSL化を当たり前にすることで、インターネットをより安全なものにしたいという狙いがある。Webサイトとしては、常時SSL化を行うか、トップページをHTTPS化するしか対応策がない状況となっている。

「Chrome 68」から、HTTP接続(非SSL化 / TLS)のWebサイトに「保護されていない通信」と表示されるようになった

目次へ戻る

今後の「Chrome」の表示変更

Googleは、今後もインターネットの安全性を高める取り組みを進めるとしており、Chromeにおける警告表示も変化させていく計画だ。例えば、従来(Chrome 67以降)はHTTPS接続のWebサイトを表示した場合、アドレスバーに鍵のアイコンと「保護された通信」と表示されていたが、2018年9月にリリース予定の「Chrome 69」では鍵のアイコンのみになった。最終的には、鍵のアイコンも表示されなくなる予定としている。これは「WebサイトはHTTPS接続が当たり前になった」という前提の下に実施されるものだ。

なお、「Chrome 69」においても、HTTP接続のWebサイトを表示した際には引き続き「保護されていない通信」と表示される。しかし、2018年10月にリリース予定の「Chrome 70」では、利用者がHTTP接続ページにデータを入力しようとしたとき、「保護されていません」という表示が赤色になり、より強調されるようになる。

こうした常時SSL化への動きはGoogleだけではない。他のブラウザーベンダーも、Googleに追従して警告表示を変更する流れがある。このため、2018年内には多くのWebブラウザーが警告表示をより厳しく変更する可能性がある。Webサイトの運営者にとっては、まさに「待ったなし」の状況であるといえそうだ。

「Chrome 70」では、利用者がHTTP接続ページにデータを入力しようとすると、「保護されていません」という表示が赤色になる

目次へ戻る

常時SSL化で注意すべきこと

既に正規のWebサイトで「保護されていない通信」と表示される状況になっていることから、常時SSL化の流れが加速している。常時SSL化のためには、全てのWebサイトにSSL / TLSサーバー証明書を導入する必要がある。そこで、無料のSSL / TLSサーバー証明書が注目されている。また、緊急措置としてSSL / TLSサーバー証明書を無償で提供するサービスも登場している。

SSL / TLSサーバー証明書の導入で注意しなければならないことは、証明書の種類である。SSL / TLSサーバー証明書には、ドメイン認証型証明書の「DV(Domain Validation)証明書」、企業認証型証明書の「OV(Organization Validation)証明書」および「EV(Extended Validation)証明書」の3種類が存在する。無償で提供されていたり、安価で提供されていたりするのはDV証明書だ。

SSL / TLSサーバー証明書は、基本的にCA(認証局)が発行するものであるが、DV証明書の場合は、申請されたドメインが実在するかどうかを機械的に確認するだけで、Webサイト運営者についての確認はない。このため安価に短時間で発行できるという特徴がある。しかし、運営者について確認されないため、犯罪者が悪用するケースが増えている。

本来、SSL / TLSサーバー証明書は、通信を暗号化する以外に、接続先のWebページが改ざんされていないことを証明する。そのためHTTPS化されたWebサイトは安全と考えがちだが、犯罪者がフィッシングサイトやマルウェアに感染させるようなサイトに無料のSSL / TLSサーバー証明書を使用するケースが増えている。利用者としては、SSL / TLSサーバー証明書はWebサイトの内容の安全性まで保証するものではないことを認識する必要がある。

これから常時SSL化を検討するのであれば、基本的にOV証明書を使用し、個人情報や決済情報を入力するページにはEV証明書を使用することがベストといえる。DV証明書は、内部で使用するページなどへの使用にとどめる方が無難であろう。また、SSL / TLSサーバー証明書には、一つの証明書で別ドメインの複数サイトに適用できる「マルチドメイン(SANs)証明書」や、同一のドメイン配下の複数の異なるサブドメイン(FQDN)に適用できる「ワイルドカード証明書」なども提供されているため、自社に最適な組み合わせで導入したい。

SSL / TLSサーバー証明書の種類と特徴

証明書の種類承認局による確認事項価格
DV証明書ドメインの実在性のみ安価(無料もあり)
OV証明書企業の登記事項などを電話により確認約3~5万円
EV証明書書類の提出など、より厳格な審査が行われる約7万円以上

目次へ戻る