Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。
HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。
「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力したり、他のウェブサイトからHTTPリンクへ飛ぶことによって、HTTPのURLに接続する可能性がある」と、Googleのセキュリティ担当上級テクニカルプログラムマネージャーJay Brown氏は説明している。
ChromeのHSTSプリロードリストによると、GoogleがHTTPS接続を強制しているgoogle.comドメインのURLには、「Gmail」、「Inbox」、「Google Play」ストア、「Hangouts」、「Docs」などが含まれる。
今回のHSTSの実装は、自社の製品とサービス全体を暗号化するというGoogleの目標達成に寄与するとみられる。
現在のところ、Googleのサーバに対するリスクエストの約80%は暗号化された接続を使用している。Gmailのトラフィックは2014年から完全に暗号化されているほか、「Google Maps」、「News」、「Finance」、および広告といったその他サービスでもトラフィックの暗号化が進んでいる。
GoogleはHSTS実装の次の段階として、ユーザーからGoogleに対する最初のリクエストがHTTPを使ってなされる可能性を減らすことに取り組む。最終的にはHTTPを使ったGoogleへの接続はブロックされ、HTTPSにリダイレクトされることになる。
Googleは今後数カ月以内に、自社ドメインにおける「max-age」(有効期限)ヘッダを最低1年間に変更すると述べた。これにより、その間はHTTPリクエストがHTTPSにリダイレクトされる。ただし現在は、実装直後の問題を回避するためにmax-ageは1日に設定されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
OpenAIの検索エンジン「SearchGPT」、グーグル検索と違う5つのこと 
「iPhone 16 Plus」でPlusモデルは終了するのか--うわさについて考察 
気候変動対策に挑む注目のクリーンテック企業【アグリ、フードテック、素材、循環資源編】