【Chrome 68】HTTPサイト全てに警告表示が開始

みなさんはインターネット上のサイトを閲覧するのにどのようなソフトを利用していますか。Windowsをお使いの方は、「Internet Explorer」や「Microsoft Edge」、Macをお使いの方は「Safari」を使われているかも知れません。

上記のようなインターネット上のサイトを閲覧することの目的としたソフトをウェブブラウザといい、Google社より提供されている「Google Chrome」もそんなウェブブラウザの1つとなります。

また「Google Chrome」はソフトのバージョンを明確に示したい時に「Chrome 68」のように後ろにバージョンをつけて表記することがあります。

2018年7月に公開が開始されましたChrome 68では新機能として従来のChrome 67からアドレスバーの表示方法が変更となり、HTTPでサイトにアクセスすると「保護されていません」と警告メッセージの表示が開始されました。

他の新機能としてコンソールの補助機能の強化といった開発者向けの機能が追加されていますがこの記事では、特に大きなChrome 68の新機能であるアドレスバーの変更内容について紹介をしていきます。

新機能でも少し紹介しましたがChrome 68から、表示したインターネットのサイトが「http://」から始まる場合にアドレスバーに「保護されていない通信」とアドレスの横に警告メッセージの表示が開始されました。

逆にSSL技術による暗号化が正しく対応されている「https://」から始まるサイトを表示した場合は鍵マークが表示されます。

この新機能により、「保護されていません」と表示されているかどうかで一目でそのサイトが安全かどうかを判断することができるようになりました。

Chrome 68の新機能である「保護されていません」が表示されると不安に感じる方も多いと思いますが、実はこの表示はインターネットを利用する側にとってとても重要な意味を持ちます。

鍵マークが表示されている場合は、HTTPS通信となり、SSL技術を用いての暗号化された通信が行われるため、例えばショッピングサイトなどで個人情報を入力しても第三者はその通信内容が分からないようになっています。

しかし、「保護されていません」と表示されている場合は、HTTP通信となり、SSL技術を用いた暗号化がされていない状態となりますので第三者に通信を傍受・盗聴された場合に入力した個人情報などの情報が丸見えとなり大変危険な状態となります。

そのため、もし個人情報の入力など第三者に漏洩してはいけない情報をサイト上で入力する場合は、アドレスバーの横に鍵マークが表示されているかを必ず確認するようにしてください。

※通信内容の傍受については、同じネットワークにアクセスすることができれば比較的簡単に行うことができますので決して他人事ではありません。

また、2018年10月に公開が開始されたChrome 70からはHTTPで表示したサイトで何か入力しようとすると下記のように警告が赤字で表示される機能が追加されたため、Chrome 68に比べ、より警告が強くなりました。

Chrome 67以前ではHTTPでサイトにアクセスした場合でも、アドレスバーの横に（ｉ）のアイコンを表示するだけでしたがChrome 68からはHTTPS通信によるSSLの暗号化が行われていないサイト全てに「保護されていません」の警告が表示されるようになりました。

今まで紹介してきた中に「HTTP」と「HTTPS」というキーワードが登場してきましたが大きな違いとして下記の点でHTTPSはHTTPに比べ優れています。
 

• 通信先のサーバーが本物かどうかを確認する(サーバーのなりすまし防止)
• 通信内容を暗号化して送受信する(第三者による盗聴防止)

上記のような警告メッセージが表示された場合、正しく認証を受けていないサイトか、なりすましによる正規のサイトでない可能性がありますのでできる限り個人情報などの入力は避けるようにしてください。

Chrome 68から「http://」から始まるサイト全てに「保護されていません」という表示が開始されてサイトを運営している側も急ぎ「常時SSL化」の対応が求められるようになりました。

「常時SSL化」とはHTTPでアクセスされた場合でも自動的にリダイレクトを行い、HTTPSに飛ばすことで常にHTTPSによる通信を行わせるようにする対応のことを指します。

「常時SSL化」を行うと「保護されていません」と警告メッセージが表示されることがなくなり、サイトの印象が良くなります。

またGoogleはこの「常時SSL化」を推奨しており、Googleで検索を掛けた時に表示される順番で「常時SSL化」の対応をしていないサイトに比べ、上位に表示されやすくなり、サイトのアクセス数増加が見込まれます。

メリットの非常に大きい「常時SSL化」についてどのようなことをすれば自分のサイトを対応させることができるのかについて自分でサーバーの運営(レンタルサーバーを除く)をされている方を対象に紹介していきます。

サイトをHTTPSに対応させるには、パブリック認証局にサーバ証明書を発行してもらう必要がありますがサーバ証明書はサーバーのドメイン(アドレス)を保証するものになりますので、もしドメインをお持ちでない方は先にそちらを準備する必要があります。

現在、シマンテックやグローバルサイン、JPRSなど様々なサーバ認証の発行サービスがあり、価格も様々ですが値段の差はブランド名や以下の違いによるもので1つのドメインで常時SSL化を対応させる場合はどの価格のサービスを選んでも大差はありません。
 

• 証明書の範囲(ドメインの実在証明、企業の実在証明など)
• 証明対象のドメイン数

サーバー証明書が無事に発行されたら発行された証明書をサーバーに配置します。

配置が完了したらいよいよHTTPSが有効となるようにサーバーの設定を変更していきます。Apacheを使ってウェブサーバーを運営されている方は、「httpd.conf 」を編集していきます。

また、設定の途中で中間証明書が必要となる場合がありますので、証明書を発行したサイトのマニュアルなどをご確認ください。

HTTPSの設定ができたら「常時SSL化」まであともう少しです。HTTPでアクセスされた場合は、HTTPSにリダイレクトするようにサーバーの設定を変更します。

多くの場合はWEBサーバーに配置している「.htaccess」ファイルを編集していきます。

最後にサイト内のHTMLを確認し、サイトに記載されている画像のアドレスなどを全て「https://」から始まるように修正すれば「常時SSL化」が完了となります。

以上がChrome 68の新機能の紹介となります。Chrome 68でHTTPサイト全てに警告表示が開始されるようになりましたが表示の意味を理解し、安全で楽しいネットサーフィンをお楽しみください。

最後まで読んでいただき、ありがとうございました。以下の記事もオススメですのでよろしければ参照ください。