昨日からか、Chromeユーザーのアドレスバーには「保護された通信」と言うのが出るようになった。
まだGoogle Chromeの56アップデートは来ていないし、既にこういう施策が段階的に来る...と言われていたけど、予想より早く来てしまった感じで。
”保護された通信”
WordPressでサイトを運営する人の多くは、IT関係の情報に敏感な人達が多いし、悪い言い方をすれば、敏感すぎて”人柱”にもなりやすい(自分のサイトなんてPHP7.1の人柱もやってる気がするしw)。だから、その界隈での常時SSL化はかなり進んでいて、また、大手SNSにおいては、さすがにユーザーの個人情報を扱う性質もある為、かなり常時SSL化が浸透して来てる。
Google Chromeのバージョン56が来たらこの表示は決定的になる事は言われて来て、だから、このGoogleの施行に驚く人は、殆どそういうニュースに無関心だった証拠にもなる。実際、「保護された通信」が提示された時の人々の反応を見ると、ネット・セキュリティと言う観点においては、あまり人々に浸透してないことも察する事も出来た。
📄 アメリカ政府が義務化?! Googleも推進する常時SSL化の波
Googleがこういう強行に出るのも、サイトを見てる人に対して...と言う以上に、サイト運営者に対して、セキュリティの観点から全ての通信を暗号化するその施行(SSL化)を早くしろ!と警鐘を鳴らしている意味合いが強いと思っている。(普通の個人ブログとかならこの施行は必要無いとは思うけど)
WEB全体でのSSL化が進む中...
それで、今日、色々なサイトを回ってみて思った事。
大手新聞系サイトは、購読とか会員とか集ってるにも拘らず(この契約には個人情報の入力が必要な筈)殆どが常時SSL化がされてない。
サイトの規模が大きくなればなるほど、常時SSL化するのに大変な手順を踏んだりSSL化に掛かる資金も大きくなる...とは予想するけど。
あと不思議なのは、Googleがこういう事をやった時に最初に動いて来る筈のIT系メディアが全然反応してない事。Twitterでは、Chromeユーザーの多くが「保護された通信」に気付いて反応してるけど...。(大きな声で言いたくないけど、やはり自サイトがHttps化してないからか...? わからん...)
一方で、面白いのは、色々と存在を問題視されてるキュレーション・サイトでは常時SSL化してるサイトが意外や多い事。不祥事で運営をやめたキュレーション・サイト系が未だhttpsのアドレスのまま放置されてるけど、多分、そういうキュレーション・サイトは、常時SSL化するとSEO的に有利になる...と言う言葉に踊らされていた可能性もある...
その中にたまに常時SSL化してない企業も混じってたり、しかし、意外な所がまだ常時SSL化されてなかったり(時間が掛かってるだけだとも思うけど)そういう差もかなりはっきり見えるようになって来た。
"Yahoo Japan"も今年の3月までに常時SSL化を完了するリリースを出していて、この規模の常時SSL化には1年の月日が必要と言うのが大変すぎる。
常時SSL化の波と言うのは、企業レベルに留まらず、先に触れた通り、Wordpress等でサイトを運営するような個人の中にも既に広まりつつある。
常時SSL化をしても、運営側の恩恵が大きいわけではない
余談だけど、正直なところ、常時SSL化した直後は、自分のサイトではアクセス数(特に検索から)はかなり落ち込んだ(理由: URLがhttpからhttpsに変わるから。当然アドレスのリダイレクト処理をしても)。
SSL化した時期も良くなかったけど(特にアクセス数が落ち込みやすいクリスマス前)、元に戻るのには一ヶ月位掛かるかも? と言うのが自分のサイトの見通し。自分の本家サイトは、特定のゲームのファンサイトと言う傾向上、リピーターが45%ほどを占めるからそれほど大ダメージを受けたわけではないけど、これが検索からの流入だけを頼りにしてるサイトの場合は、大きなダメージになる可能性もある。
だから、常時SSL化して得に思える事は現段階では殆どなくて、それでも、コメントを貰う時にメルアドとか入れて貰ったりするし、その通信が暗号化されて少しでもお客さんの方が安心してくれたら嬉しい...位のもので。
だからと言って「損した」とか「無駄」とかも全く思ってない。今はとにかく家以外からのスマホ経由でのアクセスが多い時代だし、その通信の安全が守られない...とかマジで気持ち悪い。そういうものを盗聴したり利用しようと思うキチガイはどこにでも現れる可能性がある。(それに、この場合は、通信を盗まれた本人がその時に全く気付く事が出来ないのが恐ろしい)
常時SSL化する事で通信が暗号化され、サイト訪問者の通信を上記の記事に示されたような危険から守る事が出来る。
常時SSL化していないサイトへのGoogleの徹底的な(キツい)姿勢
自分の場合も、Googleのやり方に全て賛同してるわけでもなく、常時SSL化していない全部のサイトを「信用できないサイト」とかにせずに、もう少し柔らかい表現でも良いような気がする(悪どいサイトに徹底的に対処したい気持ちはわかるけど) ブログサービスでやってる普通の個人ブログにはこの表示は要らない。
(大手のブログサービスではアフィリで稼いでる纏め系サイトが混同してる事が問題)
それで、どれだけGoogle(Chrome)の常時SSL化してないサイトへの姿勢が厳しいのか、これを見るとよくわかるような気がする。自分の使用してるサーバーのさくらに、3つの大手ブラウザのSSL証明書(SHA-1)が無かったり期限が切れてたりした場合の表示が書いてあったけど、他のブラウザの姿勢に比べてGoogleはキツイw
SHA-1 証明書の規制・影響と SSL のエラーについて (後編)
例えば、サイトのSSL証明書が切れていた場合、観閲者に対し...
「この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。」
Firefox44の場合
「この証明書の有効期限は YYYY 年 MM 月 DD 日 hh:mm に切れています。現在時刻は YYYY 年 MM 月 DD 日 hh:mm です。」
Chrome48の場合
「攻撃者が、example.com 上のあなたの情報(パスワード、メッセージ、クレジット カード情報など)を不正に取得しようとしている可能性があります。 」
IEとFirefoxの表現は妥当だとしても、Chromeの場合、なんで話がすぐにそこに繋がるの?言う感じで、ちょっと飛躍しすぎてる感もするw
今後、Chromeは「保護された通信」と言う表示以外に、個人情報の入力を求めるようなサイトで常時SSL化していない場合に対し、もっと露骨な危険提示を行う...とも言われている。
「保護された接続」と言う表示がうざくて嫌だ...と言う人も多いみたいだし、Firefoxあたりに逃げ出す人も居る? いや、Firefoxに行こうがIEやEdgeに行こうが、SSL化してるサイトとそうじゃないサイトの差別化は表示されるようにはなっている。
Chrome バージョン56のアップデートが来て、さらにSSL化していない個人情報を入力するページには「保護されていません」と表示されるようになった。Firefoxのアップデートでも、同様のページに錠前マークに斜め線が入り「保護されていない」事が表記されるようになった。
自分のところは既にSSL化を終わらせてしまっただけに(こういうヘボいサイトであっても途中からの常時SSL化は正直かなりメンドイです)、後はGoogleがどんな施策に来ようがそれに慌てる事は暫くは無いだろうけど、今後の世間の反応と言うのには非常に興味がある。
1/9 追記 思いがけず多くの人にこの記事を読んでもらう事になり、少し読みやすいように段落付けたり、参考になりそうな記事へのリンクを幾つか加えて編集しました。(内容は殆ど変わってません)