- 1年後の2026年10月にリリースされる Chrome 154 から、ブラウザの既定設定が 「常に安全な接続を使用する(Always Use Secure Connections)」 に切り替わる
- この設定では、HTTPSのない公開サイトにアクセスする際、ユーザーに警告と許可の要求を表示する
- HTTPSの採用率は2015年の30〜45%から2020年の95〜99%へ上昇したが、その後は停滞している
- Chromeは 公開サイトに限定したHTTPS強制モード を既定で適用し、ユーザーの不便を最小限に抑えつつセキュリティ水準を高める計画
- 今回の変更は、Web全体の安全性強化と残るHTTPリスクの最小化 を目的としている
Chromeの既定設定変更
- 2026年10月にリリースされる Chrome 154 から、「Always Use Secure Connections」設定が既定で有効化される
- HTTPSのない公開サイトに初めてアクセスする際、ユーザーに警告と許可の要求を表示
- Chrome 147(2026年4月)では、Enhanced Safe Browsing を利用する10億人以上のユーザーに先行適用予定
- ユーザーは 必要に応じてこの設定を無効化 できる
HTTPS普及の現状
- Googleは10年以上にわたり HTTPS 透明性レポート を通じて、Chrome内でのHTTPS利用率を追跡してきた
- 2015年の30〜45%から2020年の95〜99%へ上昇
- その後は成長が停滞している
- 高い採用率のおかげで、残る HTTPトラフィックに対する強力な対策 を検討できるようになった
ユーザーの安全と警告最小化のバランス
- 全体トラフィックの95%がHTTPSであっても、残る5%のHTTP接続は依然としてリスク要因である
- Chromeは 同一サイトへの繰り返し警告を防止 して、ユーザーの不便を減らす
- よく訪れる非セキュアなサイトには繰り返し警告を表示しない
- プライベートサイト(例: 192.168.0.1、intranet など) は証明書の発行が難しく、依然としてHTTP利用が多い
- こうしたサイトはリスクが低いため、公開サイトのみを警告対象に限定する方式を導入
- 実験結果では、公開サイト専用モードでの ユーザー警告発生率は3%未満 で、ほとんどのユーザーは週1回以下の警告しか経験しない
HTTP利用状況と改善措置
- HTTPトラフィックのかなりの部分は、HTTPSへリダイレクトされる初期リクエスト で発生している
- ローカルネットワーク機器の設定ページ などは、証明書の問題からHTTPを利用するケースが多い
- Chromeは ローカルネットワークアクセス権限(Local Network Access Permission) 機能を導入
- HTTPSページからでも、ユーザー同意後にローカルネットワークへアクセス可能
- これにより、ローカル機器の設定ページをHTTPSへ移行できる可能性が広がる
開発者およびIT管理者向け案内
- Webサイト開発者とIT管理者は、今から「Always Use Secure Connections」設定を有効化 して、影響を受けるサイトを点検することが推奨される
- Chromeの管理環境(企業・教育機関など)では、公式ガイド文書 を通じて
- 警告表示の条件
- 緩和方法
- 組織ごとのポリシー設定方法などを確認できる
今後の計画
- Googleは ローカルネットワークサイトへのHTTPS導入障壁の緩和 も追加目標としている
まだコメントはありません。