どうも、こんにちは、AKIHIROです。

HTTPSを使ったセキュアな接続の普及を目指しているGoogleがHTTPは安全ではないですよ！と明示すべき、と提案しています。

HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント（UA）の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。
この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。

 

主要ブラウザでのアドレスバーの表示例（Googleより）

 

背景として米国家安全保障局（NSA）などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。

具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場合は「安全」（Secure）、HTTPSを使っていてもTLSにマイナーなエラーがあるといった場合は「疑問あり」（Dubious）、HTTPを使っている場合は「安全でない」（Non-secure）と分類することを提案している。

 

Googleが提案した表示例

 

現在の仕様では、HTTPSを使っているWebサイトには安全であることを示す鍵マークが表示される。しかしGoogleの提案では「HTTPを安全でない」と明示する一方で、HTTPSについてはいずれ現在のHTTPのようにノーマークにすることを目指すとした。

GoogleはChromeで2015年から段階的な移行プランの導入に着手する意向だといい、この提案についての意見や、移行計画についての意見を募っている。

（引用：ITmedia「HTTP接続は「安全でない」と明示すべし――Googleが提案」）

この活動には賛成します。昨今の欧米では、どのサイトにもHTTPSでの通信を推奨しているのは知っていましたが、世間の認知度してはやはり、HTTPは「普通」で、HTTPSが「セキュアで安全」という認識になっていますよね。

そこの認識をHTTPは「安全ではない」＝危険！？、HTTPSが「普通」を目指すと言っているのです。それくらいのセキュリティ意識が当然であると言われる時代も近いのかもしれません。

個人情報を扱っていないサイト・ページだからSSLいらないよ！ではなく、どんなサイトにもSSL設定し、HTTPSが当然だよ！となっていくことを切に願います。

完