グーグル、「Chrome 56」でHTTP接続への警告表示を開始

　Googleは米国時間1月25日、「Google Chrome 56」をリリースした。すべてのHTTPページが安全とは限らないことをユーザーに警告する計画の第1段階として、まずはログイン情報やクレジットカード番号を収集するページで警告を表示する。

提供：Google

　この変更は、ウェブサイトを運営する企業だけでなく、暗号化されていない接続で情報を収集している企業への働きかけになるだろう。

　Chromeはこれまで、HTTPページに対して中立的なグレーのマークのみ表示していたが、これではHTTP接続の安全性が完全に欠如していることを示せないとGoogleのChromeセキュリティチームは考えている。

　Chrome 56以降の新しいマークでは、HTTP接続によるログインページや決済ページに対して「Not secure（安全ではない）」と表示される。いずれは同じ警告が他のHTTPページにも適用される予定だ。Googleはまた、開発者に対し、機密情報を記録できるカメラやマイクなど、より強力なハードウェア機能にアプリからアクセスできるようにするには、HTTPSに移行するよう呼びかけている。

　HTTPSの導入を加速させる取り組みの一環として、GoogleはHTTPSサイトの検証や暗号化に使われるデジタルSSL/TLS証明書の管理も強化した。同社は1月26日、自ら証明書の発行や破棄を行えるルート認証局（CA）になったと発表した。

　Googleは実際、数カ月前から下位CAを運営し、自社製品の証明書に対するニーズを支えていた。ところが2016年12月、同社は独自にルートCAの運営を開始した。CAを運営する新会社Google Trust Servicesも設立した。

　Googleや同社の他のページにアクセスして、証明書を確認できる南京錠のアイコンをクリックすると、Symantecなど他の大手CAではなく、Google Internet Authority G2（GIAG2）が発行した証明書であると表示される。

　GoogleのセキュリティおよびプライバシーエンジニアリングチームのRyan Hurst氏は、次のように述べている。「われわれは、サードパーティーが発行する独自の下位CA（GIAG2）を運営してきた。これは、当社がGoogle製品のSSL/TLS証明書に対するニーズをより迅速に処理できるようになる上でカギを握る要素となっている」

　Hurst氏はさらに次のように述べている。「ルート証明書を製品に組み込んで、それらの製品の関連バージョンが広く展開されるのを待つプロセスは時間がかかることもある。そのため、われわれはさらに既存のルートCAであるGlobalSign R2とGlobalSign R4の2つを取得した。これらのルートCAによって、独立した証明書の発行を近いうちに開始できるようになるだろう」

　Googleは今後も、既存の下位CAであるGIAG2の運営を継続していく予定だ。同社はまた、Googleのサービスに接続する製品を開発する場合に開発者が使用する必要のある、2つのルートCAについて概要を示した。