グーグル、「google.com」にHSTSを実装--HTTPS強制で攻撃を阻止

Liam Tung (Special to ZDNet.com) 翻訳校正: 中村智恵子 高橋朋子 (ガリレオ)2016年08月02日 11時31分
  • このエントリーをはてなブックマークに追加

 Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。

 HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。

 「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力したり、他のウェブサイトからHTTPリンクへ飛ぶことによって、HTTPのURLに接続する可能性がある」と、Googleのセキュリティ担当上級テクニカルプログラムマネージャーJay Brown氏は説明している。

 ChromeのHSTSプリロードリストによると、GoogleがHTTPS接続を強制しているgoogle.comドメインのURLには、「Gmail」、「Inbox」、「Google Play」ストア、「Hangouts」、「Docs」などが含まれる。

 今回のHSTSの実装は、自社の製品とサービス全体を暗号化するというGoogleの目標達成に寄与するとみられる。

 現在のところ、Googleのサーバに対するリスクエストの約80%は暗号化された接続を使用している。Gmailのトラフィックは2014年から完全に暗号化されているほか、「Google Maps」、「News」、「Finance」、および広告といったその他サービスでもトラフィックの暗号化が進んでいる。


現在のところ、Googleのサーバに対するリスクエストの約80%は暗号化された接続を使用している。
提供:Google

 GoogleはHSTS実装の次の段階として、ユーザーからGoogleに対する最初のリクエストがHTTPを使ってなされる可能性を減らすことに取り組む。最終的にはHTTPを使ったGoogleへの接続はブロックされ、HTTPSにリダイレクトされることになる。

 Googleは今後数カ月以内に、自社ドメインにおける「max-age」(有効期限)ヘッダを最低1年間に変更すると述べた。これにより、その間はHTTPリクエストがHTTPSにリダイレクトされる。ただし現在は、実装直後の問題を回避するためにmax-ageは1日に設定されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加