HTTPSが「安全」ではなくHTTPが「安全ではない」というこ

どうも、こんにちは、AKIHIROです。

 

HTTPSを使ったセキュアな接続の普及を目指しているGoogleがHTTPは安全ではないですよ!と明示すべき、と提案しています。

 

HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント(UA)の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。
この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。

 

 

kyubi1218_03
主要ブラウザでのアドレスバーの表示例(Googleより)

 

 

背景として米国家安全保障局(NSA)などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。

具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場合は「安全」(Secure)、HTTPSを使っていてもTLSにマイナーなエラーがあるといった場合は「疑問あり」(Dubious)、HTTPを使っている場合は「安全でない」(Non-secure)と分類することを提案している。

 

kyubi1218

 

 
Googleが提案した表示例

 

現在の仕様では、HTTPSを使っているWebサイトには安全であることを示す鍵マークが表示される。しかしGoogleの提案では「HTTPを安全でない」と明示する一方で、HTTPSについてはいずれ現在のHTTPのようにノーマークにすることを目指すとした。

GoogleはChromeで2015年から段階的な移行プランの導入に着手する意向だといい、この提案についての意見や、移行計画についての意見を募っている。

(引用:ITmedia「HTTP接続は「安全でない」と明示すべし――Googleが提案」

 

この活動には賛成します。昨今の欧米では、どのサイトにもHTTPSでの通信を推奨しているのは知っていましたが、世間の認知度してはやはり、HTTPは「普通」で、HTTPSが「セキュアで安全」という認識になっていますよね。

 

そこの認識をHTTPは「安全ではない」=危険!?、HTTPSが「普通」を目指すと言っているのです。それくらいのセキュリティ意識が当然であると言われる時代も近いのかもしれません。

 

個人情報を扱っていないサイト・ページだからSSLいらないよ!ではなく、どんなサイトにもSSL設定し、HTTPSが当然だよ!となっていくことを切に願います。

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています