HTTP接続は「安全でない」と明示すべし――Googleが提案

「HTTPには情報セキュリティ対策が施されていない」という事実をもっとはっきりユーザーに示す必要があるとGoogleは主張する。

[鈴木聖子，ITmedia]

　HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント（UA）の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。

主要ブラウザでのアドレスバーの表示例（Googleより）

　この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。

　背景として米国家安全保障局（NSA）などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。

　具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場合は「安全」（Secure）、HTTPSを使っていてもTLSにマイナーなエラーがあるといった場合は「疑問あり」（Dubious）、HTTPを使っている場合は「安全でない」（Non-secure）と分類することを提案している。

Googleが提案した表示例

　現在の仕様では、HTTPSを使っているWebサイトには安全であることを示す鍵マークが表示される。しかしGoogleの提案では「HTTPを安全でない」と明示する一方で、HTTPSについてはいずれ現在のHTTPのようにノーマークにすることを目指すとした。

　GoogleはChromeで2015年から段階的な移行プランの導入に着手する意向だといい、この提案についての意見や、移行計画についての意見を募っている。