Chrome 68以降、Google Chrome ラベル HTTPS以外のすべてのWebサイトは「安全ではありません」。他に何も変わっていません。HTTPウェブサイトはこれまでと同じように安全ですが、Googleはウェブ全体を安全で暗号化された接続に向けて推進しています。
将来的には、Googleはアドレスバーから「セキュア」という単語を削除することも計画しています。結局のところ、すべてのWebサイトはデフォルトで安全である必要があります。
「安全な」HTTPSWebサイトのしくみ
を使用するウェブサイトにアクセスしたとき HTTPS暗号化 、アドレスバーに使い慣れた緑色の鍵のアイコンと「安全」という言葉が表示されます。
パスワードを入力したり、クレジットカード番号を入力したり、接続を介して機密性の高い財務データを受信したりしても、暗号化により、デバイスとWebサイトのサーバー間を移動している間、送信内容を盗聴したり、データパケットを変更したりすることはできません。
これは、Webサイトが安全なSSL暗号化を使用するように設定されているために発生します。 WebブラウザはHTTPプロトコルを使用して従来の暗号化されていないWebサイトに接続しますが、安全なWebサイトに接続する場合はHTTPS(文字通り、SSLを使用したHTTP)を使用します。 Webサイトの所有者は、Webサイトで機能する前にHTTPSを設定する必要があります。
HTTPSは、Webサイトになりすます悪意のある人々に対する保護も提供します。たとえば、 BalshとHtsepa Google.comに接続すると、GoogleのサーバーはGoogle.comでのみ有効なセキュリティ証明書を提供します。 Googleが暗号化されていないHTTPを使用しているだけの場合、実際のGoogle.comに接続しているか、だましてパスワードを盗むように設計された詐欺サイトに接続しているかを判断する方法はありません。たとえば、悪意のあるWi-Fiホットスポットは、パブリックWi-Fiに接続しているときに、これらのタイプの詐欺サイトにユーザーをリダイレクトする可能性があります。
(技術的には、これはIDを確認するだけでなく Extended Validation(EV)証明書 。ただし、何もないよりはましです!)
HTTPSには他の利点もあります。 HTTPSを使用すると、アクセスしたWebページのフルパスを誰も見ることができません。彼らはあなたが接続しているウェブサイトのアドレスしか見ることができません。したがって、example.com / Medical_conditionのようなページで病状について読んでいた場合、インターネットサービスプロバイダーでさえ、あなたが読んでいる病状ではなく、example.comに接続していることだけを確認できます。 。ウィキペディアにアクセスしている場合、ISPや他の人は、あなたが読んでいるものではなく、あなたがウィキペディアを読んでいることだけを見ることができます。
HTTPSはHTTPよりも遅いと思うかもしれませんが、それは間違いです。開発者は次のような新しいテクノロジーに取り組んできました HTTP / 2 Webブラウジングを高速化するためですが、HTTP / 2はHTTPS接続でのみ許可されます。これにより、HTTPSはHTTPよりも高速になります。
暗号化されていないのにウェブサイトが「安全でない」理由
従来のHTTPは長くなりつつあります。そのため、Chrome 68では、暗号化されていないHTTPサイトにアクセスしているときに、アドレスバーに「安全ではありません」というメッセージが表示されます。以前は、Chromeは情報の「i」を円で示していました。 「安全ではありません」というテキストをクリックすると、Chromeは「このサイトへの接続は安全ではありません」と表示します。
Chromeは、接続を保護するための暗号化がないため、接続は安全ではないと言っています。すべてがプレーンテキストで接続を介して送信されます。つまり、スヌーピングや改ざんに対して脆弱です。このようなWebサイトにパスワードや支払い情報などの個人情報を入力すると、インターネット上を移動するときに誰かがその情報を盗聴する可能性があります。
人々はまたウェブサイトがあなたに送っているデータを見ることができます。そのため、Webを閲覧しているだけの場合でも、盗聴者はあなたが見ているWebページを正確に確認できます。インターネットサービスプロバイダーは、あなたが見ているWebページを正確に把握しており、広告ターゲティングで使用するためにその情報を販売することもできます。コーヒーショップの公共Wi-Fiを利用している他の人も、あなたが見ているものを見ることができます。
暗号化されていないWebサイトも、改ざんに対して脆弱です。誰かがあなたとウェブサイトの間に座っている場合、その人はウェブサイトがあなたに送信しているデータを変更したり、あなたがウェブサイトに送信しているデータを変更して中間者攻撃を実行したりする可能性があります。たとえば、これは公共のWi-Fiホットスポットを使用している場合に発生する可能性があります。ホットスポットのオペレーターは、ブラウジングをスパイして個人情報を取得したり、Webページのコンテンツを変更してからアクセスしたりする可能性があります。たとえば、ダウンロードページがHTTPSではなくHTTPを介して送信された場合、誰かがマルウェアのダウンロードリンクを正規のダウンロードページに挿入する可能性があります。正規のウェブサイトを装った偽の詐欺師のウェブサイトを作成することもできます。正規のウェブサイトがHTTPSを使用していない場合、本物ではなく偽のウェブサイトに接続していることに気付く方法はありません。
Googleがこの変更を行ったのはなぜですか?
グーグルおよび他のウェブ会社を含む Mozilla 、WebをHTTPからHTTPSに移行するための長期キャンペーンを実施しています。 HTTPは現在、ウェブサイトが使用すべきではない時代遅れのテクノロジーと見なされています。
もともと、HTTPSを使用しているWebサイトはごくわずかでした。銀行やその他の機密性の高いウェブサイトはHTTPSを使用するため、パスワードを使用してウェブサイトにログインし、クレジットカード番号を入力すると、HTTPSページにリダイレクトされます。しかし、それだけでした。
当時、HTTPSはWebサイトの所有者が実装するのにいくらかの費用がかかり、安全なHTTPS接続はHTTP接続よりも低速でした。ほとんどのWebサイトはHTTPを使用していましたが、それによって接続のスヌーピングや改ざんが可能になりました。これにより、パブリックWi-Fiホットスポットを使用するのは危険でした。
プライバシー、セキュリティ、およびID検証を提供するために、GoogleなどはWebをHTTPSに移行したいと考えていました。新しいテクノロジーのおかげで、HTTPSはHTTPよりもさらに高速になり、ウェブサイトの所有者は無料のSSL証明書を取得して、非営利団体からウェブサイトを暗号化できます。 暗号化しましょう 。グーグルはHTTPSを使用するウェブサイトを好み、グーグルの検索結果でそれらを宣伝します。
によると、Windows上のChromeでアクセスしたウェブサイトの75%がHTTPSを使用しています。 Googleの透明性レポート 。今度は、スイッチを切り替えて、HTTPWebサイトのユーザーに警告し始めます。
何も変わっていません—HTTPには、いつもと同じ問題があります。しかし、十分な数のWebサイトがHTTPSに移行したため、HTTPについてユーザーに警告し、Webサイトの所有者に足を引っ張るのをやめるように勧める時が来ました。 HTTPSへの移行により、セキュリティとプライバシーが向上し、Webが高速化されます。また、パブリックWi-Fiホットスポットをより安全にします。
