Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。
HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。
「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力したり、他のウェブサイトからHTTPリンクへ飛ぶことによって、HTTPのURLに接続する可能性がある」と、Googleのセキュリティ担当上級テクニカルプログラムマネージャーJay Brown氏は説明している。
ChromeのHSTSプリロードリストによると、GoogleがHTTPS接続を強制しているgoogle.comドメインのURLには、「Gmail」、「Inbox」、「Google Play」ストア、「Hangouts」、「Docs」などが含まれる。
今回のHSTSの実装は、自社の製品とサービス全体を暗号化するというGoogleの目標達成に寄与するとみられる。
現在のところ、Googleのサーバに対するリスクエストの約80%は暗号化された接続を使用している。Gmailのトラフィックは2014年から完全に暗号化されているほか、「Google Maps」、「News」、「Finance」、および広告といったその他サービスでもトラフィックの暗号化が進んでいる。
GoogleはHSTS実装の次の段階として、ユーザーからGoogleに対する最初のリクエストがHTTPを使ってなされる可能性を減らすことに取り組む。最終的にはHTTPを使ったGoogleへの接続はブロックされ、HTTPSにリダイレクトされることになる。
Googleは今後数カ月以内に、自社ドメインにおける「max-age」(有効期限)ヘッダを最低1年間に変更すると述べた。これにより、その間はHTTPリクエストがHTTPSにリダイレクトされる。ただし現在は、実装直後の問題を回避するためにmax-ageは1日に設定されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス