2017年4月27日、Google から、暗号化されていないサイトの危険性を知ってもらうための取り組み 第2弾が発表されました。
2017年1月25日リリースの「Google Chrome 56」で、ログインページやユーザー登録ページ、カード決済ページへ、HTTP(非暗号化)接続した場合、アドレスバーに「保護されていません」と警告表示される仕様変更が行われました。(第1弾)
第1弾では、お問い合わせページやアンケートページ、サイト内検索フォームは対象外でしたが、第2弾では、これらのページも警告表示の対象となります。
Google Online Security Blog: Next Steps Toward More Connection Security
Chrome 62 の対象は、入力フィールドのあるすべてのページ
Chrome 62 が警告対象とするページは、入力フィールドのあるすべてのページです。注1)
これは、HTTP(非暗号化)接続のページに入力フォームがある場合、無条件に「保護されていません」と警告がアドレスバーに表示されるようになることを意味します。
もっと、具体的に言いますと、ブログページのほぼすべてのページに、サイト内検索フォームが設置されていると思います。ネットショップや企業サイトでもかなりのページで、サイト内検索フォームが利用されています。
これらすべてのページをSSL暗号化しない限り、Google Chrome 62 では、「保護されていません」と警告メッセージがアドレスバーに表示されるということです。
影響を受けるサイトはかなりの数になるのではないでしょうか?
注1)正確には、入力フィールドのあるページ(HTTP接続)で、入力フィールドにデータ入力しようとしたタイミングで、警告表示されます。ただし、シークレットモード利用の場合は、入力フィールドのあるページ(HTTP接続)を開いたタイミングで警告表示されます。
SSLサーバ証明書の導入が必要なサイトは、ほぼ100%
従来、SSL暗号化は必要ないと考えていた、すべての自社サイトも今一度、見直すことをお奨めします。
入力フォームのないサイトは、ほぼ皆無だと思いますので、ほぼすべてのサイトでSSLサーバ証明書は必要と考えて間違いないと思います。
入力フォームの例
サイト内検索フォーム、アンケートフォーム、問い合わせフォーム、資料請求フォーム、会員登録フォーム、ニュースレター登録フォーム、ログインフォーム、支払いフォーム など
Google Chrome 62 は、米国時間2017年10月24日にリリース予定とのことです。
この記事を書いている2017年5月2日から、5か月以上先のお話ですが、社内での検討や取引先への説明などの時間を考えると、左程の時間はありませんので、今すぐ、準備を始める必要があると思います。
Google の考える将来
Google は、近い将来、すべてのHTTP接続(暗号化されていない)ページで、警告を表示する考えを持っています。
恐らく、Chrome 62 で表示される警告表示もいずれは、警告を強調する赤字で表示される仕様に変更されるものと考えれらます。
まとめ
2017年4月27日、Google は、暗号化されていないサイトの危険性を知ってもらうための取り組み 第2弾を発表
その取り組みは、 米国時間2017年10月24日から実施の予定
警告対象ページは、入力フィールドのあるすべてのページ
入力フィールドのあるページは、米国時間2017年10月24日までにSSL暗号化が必須
入力フィールドは、サイト内検索フォームなど、ほぼ100%のサイトに存在