Google の Chromium Security チームは、Chromium Projects サイト内で公開した 「Marking HTTP As Non-Secure」 と題された文書内で、ユーザーエージェント (UA / 要するにブラウザ) は、HTTP 接続に対して「安全でない」と明確に表示することを提案しています。
We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.
The goal of this proposal is to more clearly display to users that HTTP provides no data security.
...中略...
Ultimately, we can even imagine a long term in which secure origins are so widely deployed that we can leave them unmarked (as HTTP is today), and mark only the rare non-secure origins.
現在、ブラウザは HTTP 接続の時は特に何も特別な表示はせず、HTTPS 接続 (暗号化された接続) の時に、「この接続は安全ですよ」 という表示をしています。アドレスバーに鍵マークを出したりといった方法で、これは皆さんおなじみのやつ。
今回の提案は、HTTPS 接続時には特に何も表示せず、逆に HTTP 接続時には、「今、安全じゃない接続がされていますよ」 と表示するように変更した方がいいと思いますという話ですね。つまり、暗号化された接続を標準と考えるアプローチ。
その理由として、
We know that people do not generally perceive the absence of a warning sign.
「人々は一般的に、警告サインがないことについて認識しない」 ことを我々は知っていると書かれています。
ちなみに、Google は、各ブラウザベンダに対して、下記のような段階を踏んで、移行したらどう? と提案しています。
- T0 (now): Non-secure origins unmarked
- T1: Non-secure origins marked as Dubious
- T2: Non-secure origins marked as Non-secure
- T3: Secure origins unmarked
- 現在: 暗号化されていない場合は特別な表示なし
- 第1段階: 暗号化されていない場合は 「問題あり / 疑わしい」 と表示
- 第2段階: 暗号化されていない場合は 「安全でない」 と表示
- 第3段階: 暗号化されている場合は特別な表示なし
さらに、暗号化されている通信に関しても、セキュリティのレベルを 3 段階に分けて表示する案も出されています。
- Secure > 65%: Non-secure origins marked as Dubious
- Secure > 75%: Non-secure origins marked as Non-secure
- Secure > 85%: Secure origins unmarked
その計算方法や数値は仮として、
- 65% 安全なら、「問題あり / 疑わしい」 と表示
- 75% 安全なら、「安全でない」 と表示
- 85% 安全な接続が行われている場合は特別な表示なし
などと分類する感じですかね。
Google は、ここで提案されていることをベースに、来年、2015年には Chrome での具体的な導入について着手したいとも書いています。
他のブラウザベンダがこれに追随するかはまだわかりませんが、例えば Mozilla は、Cisco、Akamai、IdenTrust、EFF と共同で設立した ISRG (Internet Security Research Group) において、Let's Encrypt と呼ばれる無料でオープンな公益認証局サービスを来年の第二四半期からの提供開始に向けて支援していますし (下記記事参照)、暗号化通信が当たり前になっていくと、「安全なときに表示を出す」 から、「安全でないときに表示を出す」 に統一していく Google の提案が合理的と言えるかもしれません。
- Let's Encrypt : Delivering SSL/TLS Everywhere
- やっと、ついに、誰もが無料でHTTPSを使えるようになる!... MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunch
本件とは直接関係ないですが、Google Chrome はすでに暗号化通信を行っていても、問題がある接続に関してはアドレスバーで警告アイコンを表示する変更を、最新の Chrome 39 で行っています。
詳しくは下記の記事に書いていますので参考までにどうぞ。
- 主要ブラウザにおける SSL 3.0 無効化タイミングのまとめ(Chrome のセクションを参照)
- Google Chrome 39 が正式リリース、SSL 3.0 へのフォールバック機能がデフォルトで無効に
HTTPS で接続していれば必ず安全ということではないので注意は必要ですが (下記記事参照)、Google が暗号化通信の有無を検索ランキングの決定時に考慮するなんて発表をしたり、Google さんはかなり強力に暗号化通信を当たり前にする方向で色々とやってます。
インターネットにおける Google の影響力を考えれば、同社の目指す方向性が良くも悪くもインターネットの 「標準」 に大きな影響を与えるのは間違いないですので、来年は SSL/TLS がホットなキーワードのひとつになりそうです (今年も脆弱性的な方面でホットではありましたが......)。
- プードルも結構だけど、クッキーにセキュア付いてますか? : Togetterまとめ
- HTTPSを使ってもCookieの改変は防げないことを実験で試してみた : 徳丸浩の日記
- Cookieにsecure属性を : 安全なWebアプリ開発の鉄則 2004
- RFC 6797 - HTTP Strict Transport Security (HSTS)
