Google は長年にわたって HTTPS の普及を積極的に推進しており、最近、 Chromeでデフォルトで有効になっている HTTPS-firstの改善を発表しました。
Googleは、現在もWebトラフィックの5~10%がHTTPであり、サイバー攻撃によるセキュリティリスクをもたらしていると主張している。ただし、ユーザーが HTTPS 以外のページにアクセスすると、Chrome は警告を表示します。しかしGoogleは、依然として通知を無視する人がおり、セキュリティが危険にさらされていると述べている。
Google は、HTTP の問題を解決する正しい方法はHTTPS-First モードを有効にすることであると考えています。この機能を有効にすると、ブラウザーはすべてのhttp://をhttps:// に自動的にアップグレードします。このモードは、ユーザーがクリックしたリンクが HTTP URL であっても機能します。
導入によると、HTTPS ファーストを有効にすると、ブラウザはユーザーのプライバシーとセキュリティを損なうことなく、Web ページ上のすべての HTTP リンクを HTTPS に自動的にアップグレードします。Web サイトにアクセスできなくなり、HTTP 404 エラーまたは無効な証明書が発生した場合、つまり Web サイトが HTTPS をまったくサポートしていない場合、Chrome はそれをアップグレードの失敗として扱い、すぐに HTTP にフォールバックして Web サイトへのアクセスを継続します。
このメカニズムにより、ユーザーは HTTPS バージョンが利用できない場合にのみ HTTP ドメインにアクセスし、他の古いまたは安全でない可能性のある HTTP リンクから保護されます。
また、HTTPS-first は HTTPS-Only とは少し異なります。後者の場合、ブラウザが HTTPS 対応の Web サイトにアクセスしようとすると、依然として HTTP リクエストがサーバーに送信される可能性がありますが、これは明らかに安全ではありません。HTTPS をサポートするレガシー HTTP リンクを持つサイトは、リダイレクト要求を処理するようにドメインを構成した後、HTTP Strict Transport Security (HSTS) プリロード リストにオプトインできます。
参考文献