かねてからの告知通り、Googleが提供するウェブブラウザ「Google Chrome」の7月24日のアップデートで、非SSLサイト(https通信でないサイト)にアクセスした場合、アドレスバーに「保護されていない通信」と表示されるようになりました。
常時SSL(https://〜で始まるアドレス)への対応は待ったなし、となっています。
Googleのこれまでのセキュリティへの取り組み
Googleはこれまで、以下のように段階的にウェブサイトのセキュリティに関して様々な取り組みを実施してきました。現在では検索順位を決めるランキングシグナルとしても利用されています。
2014年:HTTPS通信をランキングシグナルとして利用
2017年:パスワード、カード番号入力フォームへの警告表示開始
ECサイトなどで、ユーザー個人のマイページにログインをしたり、購入の際にクレジットカード番号を入力するフォーム(いわゆるカートページ)が存在する場合、SSL化されていなければ、アドレスバーに警告を表示するアップデートがなされました。
Moving towards a more secure web
2017年:全ての入力フォームのあるページへの警告表示
さらにもう一歩踏み込んで、非SSLのサイトで入力フォームがあるページには全て「保護されていない通信」という警告表示がされるようになりました。これは例えばカートベージ以外でも、トップページにログインフォームが設置されているようなサイトも対象となっています。
Chrome の HTTP 接続におけるセキュリティ強化に向けて
今回のアップデートではどうなるのか?
7月24日にアップデートされた、Chrome68から、入力フォームのある無しにかかわらず、全ての非SSLサイト(http://〜で始まるサイト)に「保護されていない通信」と強制的な警告が表示されるようになります。
実はこちらのブログも恥ずかしながら非SSL通信です。。。SSL通信への切替を実施中ですので近日中に対応予定です
セキュアな通信でない場合、エンドユーザーに不安を与える
サイトにアクセスした場合、アドレスバーに「保護されていない通信」と表示されると否応なくユーザーに不安を与えることとなります。特にECサイトの場合、クレジットカードや名前、住所、電話番号など様々な個人情報をやり取りしますので、「このサイトで買っても大丈夫だろうか?」と感じて離脱の可能性は高くなります。
今回のGoogleChromeのアップデートは、より安全・安心にウェブにアクセス出来るようにする流れの一環と言えます。
非SSLサイトはどうすればいいのか?
常時SSL化していきましょう。
以前の記事、「常時SSLの導入で安心・安全なECサイトの運営を実現」でも紹介しているように、SSLの証明書を取得後(証明書の種類については上記記事を参照ください)、審査等を経てSSL化をしていく流れになります。認証方法によってハードルは異なりますが、大まかに2週間〜1ヶ月程度でSSL化が可能です。
ユーザーがより安全・安心なウェブ体験が出来るように、非SSLのサイトはSSL化を急ぎましょう。