Google Chrome セキュリティ警告 保護されていない通信 の変遷

このページは、Google Chromeのセキュリティに関する警告表示を時系列で確認できます。

Googleは、暗号化されていないサイトの危険性を知ってもらうための取り組みとして、ブラウザの仕様変更を順次進めています。

具体的には、非SSLサイトにアクセスした場合に、セキュリティに関する警告表示をアドレスバーに表示する仕様をより厳しくする動きです。

Googleがセキュリティ的に理想とするのは、すべてのウェブサイトを常時SSL化することです。この理想を実現するために、Google Chromeの警告表示は、今後も強化されます。

Google Chrome以外のブラウザも追随するパターンになっています。

混合コンテンツの段階的なブロック強化

Googleは、デフォルト設定のChromeで、混合コンテンツのブロックを徐々に進めていくと発表しました。

混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのリソース（画像、動画、スクリプトなど）が読み込まれている状態のことです。

混合コンテンツの状態を放置すると、混合コンテンツの画像改ざんやロード中の追跡Cookie挿入などの攻撃を受ける可能性があるそうです。

当サイトでは、混合コンテンツのチェックツールを用意しています。

Chrome 80で、混合コンテンツに警告表示

2020年1月リリース予定のChrome 80から、以下のような仕様になります。

• 混合コンテンツの動画、音声を自動的にhttpsで接続し、読み込めない場合はブロック
• 混合コンテンツの画像は引き続き表示されるものの、「保護されていない通信」と「警告メッセージ」を表示

Chrome 81で、混合コンテンツすべてをブロック

2020年2月リリース予定のChrome 81から、以下のような仕様になります。

• 混合コンテンツの画像も自動的にhttpsで接続し、読み込めない場合はブロック

• No More Mixed Messages About HTTPS

Google Chrome 79（2020年1月13日リリース）

「TLS 1.0」「TLS 1.1」を利用するサイトに警告表示

2020年1月13日にリリースされる Chrome 79から、「TLS 1.0」「TLS 1.1」を利用したWebサイトで、「保護されていない通信」と「警告メッセージ」が表示される仕様になります。

「TLS 1.0」「TLS 1.1」は、インターネット通信を暗号化する初期バージョンのプロトコルで、一定の条件下で暗号解読が可能になる脆弱性が発見されたため、廃止が決定しています。

Chrome 81（2020年3月リリース）ではサイトブロック

2020年3月にリリースされる Chrome 81では、さらに警告が強化され、「TLS 1.0」「TLS 1.1」を利用したサイトへの接続ブロックが開始されます。

サイト管理者は、サーバのソフトウェアを更新し、「TLS 1.2以降」を有効にする必要があります。

• Chrome UI for Deprecating Legacy TLS Versions

Google Chrome 70（2018年10月リリース）

HTTP（非暗号化）接続の入力フォームで、赤字の警告表示

2018年10月リリース予定の Chrome 70から、HTTP（非暗号化）ページで、入力フォームの入力をしようとすると、警告を強調する赤字の警告メッセージが表示される仕様になります。

HTTP（非暗号化）ページで、入力フォームの入力をしようとすると・・・

現在、灰色の警告メッセージにとどまっている警告を赤字で強調表示し、より危険を知らせることのできる仕様に変更されるものと考えれらます。

• Evolving Chrome’s security indicators

Google Chrome 69（2018年9月リリース）

HTTPS（暗号化）接続は当たり前！目立つ表示はやめる

Googleは、2018年9月リリース予定の Chrome 69から、HTTPS（暗号化）接続ページで、表示している「緑の鍵マークと保護された通信（Secure）」を非表示にすると発表しました。

Chrome 69から、灰色の鍵マークのみが表示される、最終的には、鍵マークも非表示に

Googleは、ウェブサイトはセキュリティ的に安全なことが当たり前で、危険な時のみ、サイト訪問者に知らせるのが当たり前との考え方に沿った変更との説明を行っています。

• Evolving Chrome’s security indicators

Google Chrome 68（2018年7月24日リリース）

「http://」で始まるすべてのサイトで、警告表示

2018年7月リリース予定の Chrome 68から、入力フィールドの有無に関わらず、HTTP（非暗号化）接続のすべてのページで、「保護されていません」と「警告メッセージ」が表示される仕様になります。

いよいよ、すべてのウェブサイトで、常時SSL化が必須になる時代が近づいて来た印象です。

すべてのHTTP接続サイトで警告メッセージを表示

• A secure web is here to stay

Google Chrome 62（2017年10月24日リリース）

入力フォームがあるすべてのページで警告表示

HTTP（非暗号化）接続で、入力フィールドのあるページにアクセスした場合、アドレスバーに「保護されていません」と「警告メッセージ」が表示される仕様変更が実施されました。

サイト内検索フォームが設置されたページやお問い合わせページ、アンケートページなどが、注意喚起メッセージ表示の対象として、追加されました。

シークレットモードの場合、入力フォームのあるページを開いたタイミングで警告表示。

• Google Online Security Blog: Next Steps Toward More Connection Security

Google Chrome 56（2017年1月25日リリース）

パスワードやクレジットカード番号の入力フォームがあるページで警告表示

HTTP（非暗号化）接続で、サイト訪問者の情報を取集するページにアクセスした場合、アドレスバーに「保護されていません」と「警告メッセージ」が表示される仕様変更が実施されました。

ログインページやカード決済ページなどが、注意喚起メッセージ表示の対象になります。

暗号化されていない個人情報入力ページのアドレスバーに「保護されていません」と警告表示

• Google Online Security Blog: Moving towards a more secure web