Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。
HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。
「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力したり、他のウェブサイトからHTTPリンクへ飛ぶことによって、HTTPのURLに接続する可能性がある」と、Googleのセキュリティ担当上級テクニカルプログラムマネージャーJay Brown氏は説明している。
ChromeのHSTSプリロードリストによると、GoogleがHTTPS接続を強制しているgoogle.comドメインのURLには、「Gmail」、「Inbox」、「Google Play」ストア、「Hangouts」、「Docs」などが含まれる。
今回のHSTSの実装は、自社の製品とサービス全体を暗号化するというGoogleの目標達成に寄与するとみられる。
現在のところ、Googleのサーバに対するリスクエストの約80%は暗号化された接続を使用している。Gmailのトラフィックは2014年から完全に暗号化されているほか、「Google Maps」、「News」、「Finance」、および広告といったその他サービスでもトラフィックの暗号化が進んでいる。
GoogleはHSTS実装の次の段階として、ユーザーからGoogleに対する最初のリクエストがHTTPを使ってなされる可能性を減らすことに取り組む。最終的にはHTTPを使ったGoogleへの接続はブロックされ、HTTPSにリダイレクトされることになる。
Googleは今後数カ月以内に、自社ドメインにおける「max-age」(有効期限)ヘッダを最低1年間に変更すると述べた。これにより、その間はHTTPリクエストがHTTPSにリダイレクトされる。ただし現在は、実装直後の問題を回避するためにmax-ageは1日に設定されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」