Chromeで「保護されていない通信」というメッセージの表示頻度が上がるよ。

こんにちは、ヱビス(@evisu0414)です。

2017年4月にChromeのSSL通信に関するアップグレードがある記事が話題になりました。

【元記事】
http://internet.watch.impress.co.jp/docs/news/1057563.html

それから6ヶ月、10月25日(日本時間)にChromeのバージョン62がリリースされます。

この「Chrome 62」からSSL通信のチェックが厳しくなります。

どのような変化があるのか、またChromeユーザーにどのような影響があるのかをまとめていきます。

Chrome 62からSSLの警告がよく表示される

現在の「Chrome 60」においてもSSLのセキュリティ強化が行われています。

どういった現象になるかというと下記の図のようにアドレスバーに「保護されていない通信」と表示されます。

「Chrome 62」になるとこの表示が、より一般のユーザーの方の目に、触れやすくなるということになります。

「保護されていない通信」と表示される条件

「Chrome 62」で「保護されていない通信」が表示される条件があります。

フォームがあるかどうかが分かれ道

「Chrome 60」(2017.09.03時点)では、「パスワード入力」があるページのみ「保護されていない通信」と表示されます。

ですが、「Chrome 62」からは「入力欄(フォーム)」があるページ全てが「保護されていない通信」と表示される対象ページとなります。

ページ内検索があるサイトは要注意

コーポレートサイトなどは、フォームを利用するような仕組みがあまりないと思います。

ですが、ブログや商品を扱うECサイトなどは、「ページ内検索(サイトの中でキーワードに該当するページを探す仕組み)」が、ページに埋め込まれていると、それが「入力欄(フォーム)」と認識されるため、「保護されていない通信」ページの対象になります。

常時SSLは必要?

現状では、「Chrome 62」にバージョンが上がることで、常時SSL化(全ページSSL化)をしないといけないわけではないと、考えています。

ただし、「ページ内検索」を導入しているサイトで、全ページに「入力欄(フォーム)」がある状態の場合は、常時SSL化(全ページSSL化)をする必要はあります。

また、各ブラウザのセキュリティ意識が急速に高まっています。

そのため、「入力欄(フォーム)」が無いページに対しても「保護されていない通信」ページの対象になる可能性は非常に高いと考えています。

「Chrome 62」に向けての対策

「Chrome 62」に向けて、各Webサイトが取り組むべき必要があることをまとめます。

フォームを使っているページの有無を確認

まずは、サイト内に「入力欄(フォーム)」が使われているページがあるかどうかを確認します。

ある場合は、SSL対応対象のページとなります。

なければ、「Chrome 62」に対応を間に合わせる緊急性は下がりますが、常時SSL化をする計画は進めておきましょう。

SSL対策をしたことがない場合

これまでにSSL化対応を行わず、「入力欄(フォーム)」が使われている場合は、SSL化対応が必要になります。

そのときに、重要になるのがお使いのサーバーがSSL化対応可能かどうかという点です。

メジャーなレンタルサーバー(さくらインターネットやロリポップ)などでは、SSL化対応が可能です。

ですが、まだ稀にSSL化対応ができないというレンタルサーバーがあります。

必ず、レンタルサーバーを確認・問い合わせをしてください。

最悪、レンタルサーバーの引っ越し(移管)が発生します。

SSL化対応は可能だが有料の場合

SSL化をするために必要な、「SSL証明書」というのは年間での費用が発生します。
有名な「シマンテック(旧ベリサイン)」のSSL証明書は年間「¥81,000(税抜き)」が必要になります。
※「SSL証明書」のブランドを気にしなければ、年間数千円というのもあります。

また、レンタルサーバーによっては無料で「SSL証明書」を取得・設定できるものも増えてきています。

現在、お使いのレンタルサーバーでどういった対応が可能なのかを把握しましょう。

外部ファイルの読み込みに注意

「SSL証明書」を取得が完了しても、油断はできません。

WebサイトのURLが下記のようになることを必ず確認してください。

※緑の文字で「保護された通信」となっていますか?

WebサイトのURLを「https://」に変更してもグレーになっている場合は、Webサイトのどこかでに「http://」で呼び出しを行っている部分があります。

Webサイトが呼び出している外部ファイルがすべて「SSL化」されている必要があります。

画像・JavaScript・CSSのbackground-imageなどに「http://」で始まるものがあれば「https://」と書き換えましょう。

外部ファイルがSSL対応していなかった場合

これがSSL化対応をしているときの最悪のパターンです。

外部のJSやサービスは、利用している元のWebサイトからはどうすることもできません。

近日中に対応してくれるのであれば、問題ありませんがそうでなければ代案を考える必要があります。

このパターンが発生しても対応できるだけの期間が必要となります。

まとめ

「Chrome 62」になることで致命的な問題(サイトが見れなくなる)というのは発生しないと思います。

ですが、Webサイトを利用するユーザーにとっては「保護されていない通信」と表示されることは、決して安心できるものではありません。

また、現在のセキュリティに対する関心の高さから、全ページSSL化を推奨する流れというのは避けられないと考えていますので、問題が表面化する前に対応の準備を進めていきましょう。

ちなみに、「とある平凡プログラマの資産形成ブログ」は常時SSL化対応済みです。