このページは、Google Chromeのセキュリティに関する警告表示を時系列で確認できます。
Googleは、暗号化されていないサイトの危険性を知ってもらうための取り組みとして、ブラウザの仕様変更を順次進めています。
具体的には、非SSLサイトにアクセスした場合に、セキュリティに関する警告表示をアドレスバーに表示する仕様をより厳しくする動きです。
Googleがセキュリティ的に理想とするのは、すべてのウェブサイトを常時SSL化することです。この理想を実現するために、Google Chromeの警告表示は、今後も強化されます。
Google Chrome以外のブラウザも追随するパターンになっています。
Google Chrome 94(2021年9月リリース)
HTTPSファーストモード
2021年9月リリース予定のChrome 94から、HTTPSファーストモードの提供を開始するとの発表がありました。
HTTPSファーストモードでは、https対応していないhttpページにアクセスした際、ページ全体に警告メッセージが表示されます。ただし、HTTPSファーストモードの利用には、Chromeの設定メニューから設定することが必要です。
将来的にはHTTPSファーストモードをChromeのデフォルト設定にするとのことです。
Google Chrome 86(2020年10月リリース)
更新(2020年10月7日):Chrome 86で予定されていた以下の混合フォームでの警告表示は、Chrome87まで延期されることが発表されました。
混合フォーム(HTTPSで送信しないHTTPSサイトのフォーム)で警告表示
2020年10月リリース予定のChrome 86から、入力フォームがhttpsのページ内にあるにも関わらず送信先がhttpページになっているフォーム(偽装暗号化フォーム)に対して、警告表示を行うことが発表されました。
偽装暗号化フォームから送信された情報は盗聴者に表示される可能性があり、悪意のある第三者が機密フォームデータを読み取ったり変更したりできるようになります。
具体的には、Chromeは、混合フォームの送信に関連するリスクを伝えるために、次の変更を行います。
- 混合フォームでは自動入力が無効になります。
- 混合フォームへの入力を開始すると、フォームが安全でないことを警告する警告テキストが表示されます。
- 混合フォームを送信しようとすると、潜在的なリスクを警告し、送信するかどうかを確認する警告が全ページに表示されます。
混合コンテンツの段階的なブロック強化
Googleは、デフォルト設定のChromeで、混合コンテンツのブロックを徐々に進めていくと発表しました。
混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのリソース(画像、動画、スクリプトなど)が読み込まれている状態のことです。
混合コンテンツの状態を放置すると、混合コンテンツの画像改ざんやロード中の追跡Cookie挿入などの攻撃を受ける可能性があるそうです。
Chrome 81で、混合コンテンツすべてをブロック
2020年2月リリース予定のChrome 81から、以下のような仕様になります。
- 混合コンテンツの画像も自動的にhttpsで接続し、読み込めない場合はブロック
- No More Mixed Messages About HTTPS
Chrome 80で、混合コンテンツに警告表示
2020年1月リリース予定のChrome 80から、以下のような仕様になります。
- 混合コンテンツの動画、音声を自動的にhttpsで接続し、読み込めない場合はブロック
- 混合コンテンツの画像は引き続き表示されるものの、「保護されていない通信」と「警告メッセージ」を表示
Google Chrome 79(2020年1月13日リリース)
「TLS 1.0」「TLS 1.1」を利用するサイトに警告表示
2020年1月13日にリリースされる Chrome 79から、「TLS 1.0」「TLS 1.1」を利用したWebサイトで、「保護されていない通信」と「警告メッセージ」が表示される仕様になります。
「TLS 1.0」「TLS 1.1」は、インターネット通信を暗号化する初期バージョンのプロトコルで、一定の条件下で暗号解読が可能になる脆弱性が発見されたため、廃止が決定しています。
Chrome 81(2020年3月リリース)ではサイトブロック
2020年3月にリリースされる Chrome 81では、さらに警告が強化され、「TLS 1.0」「TLS 1.1」を利用したサイトへの接続ブロックが開始されます。
サイト管理者は、サーバのソフトウェアを更新し、「TLS 1.2以降」を有効にする必要があります。
Google Chrome 70(2018年10月リリース)
HTTP(非暗号化)接続の入力フォームで、赤字の警告表示
2018年10月リリース予定の Chrome 70から、HTTP(非暗号化)ページで、入力フォームの入力をしようとすると、警告を強調する赤字の警告メッセージが表示される仕様になります。
現在、灰色の警告メッセージにとどまっている警告を赤字で強調表示し、より危険を知らせることのできる仕様に変更されるものと考えれらます。
Google Chrome 69(2018年9月リリース)
HTTPS(暗号化)接続は当たり前!目立つ表示はやめる
Googleは、2018年9月リリース予定の Chrome 69から、HTTPS(暗号化)接続ページで、表示している「緑の鍵マークと保護された通信(Secure)」を非表示にすると発表しました。
Googleは、ウェブサイトはセキュリティ的に安全なことが当たり前で、危険な時のみ、サイト訪問者に知らせるのが当たり前との考え方に沿った変更との説明を行っています。
Google Chrome 68(2018年7月24日リリース)
「http://」で始まるすべてのサイトで、警告表示
2018年7月リリース予定の Chrome 68から、入力フィールドの有無に関わらず、HTTP(非暗号化)接続のすべてのページで、「保護されていません」と「警告メッセージ」が表示される仕様になります。
いよいよ、すべてのウェブサイトで、常時SSL化が必須になる時代が近づいて来た印象です。
Google Chrome 62(2017年10月24日リリース)
入力フォームがあるすべてのページで警告表示
HTTP(非暗号化)接続で、入力フィールドのあるページにアクセスした場合、アドレスバーに「保護されていません」と「警告メッセージ」が表示される仕様変更が実施されました。
サイト内検索フォームが設置されたページやお問い合わせページ、アンケートページなどが、注意喚起メッセージ表示の対象として、追加されました。
Google Chrome 56(2017年1月25日リリース)
パスワードやクレジットカード番号の入力フォームがあるページで警告表示
HTTP(非暗号化)接続で、サイト訪問者の情報を取集するページにアクセスした場合、アドレスバーに「保護されていません」と「警告メッセージ」が表示される仕様変更が実施されました。
ログインページやカード決済ページなどが、注意喚起メッセージ表示の対象になります。