Googleは今年10月より、ユーザーが Chrome（バージョン 62）で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようにすると発表している。

シークレットモードではページにアクセスするだけでこの警告が表示されるとのことだ。

先月にはこんな通知メールが届いた人もいるのではないだろうか。

これは10月の警告表示に向け、HTTPSへの切り替えを促すのが目的のようだ。

HTTPSとは

HTTPS（Hypertext Transfer Protocol Secure）は、ユーザーのパソコンとサイトの間で送受信されるデータの完全性と機密性を確保できるインターネット接続プロトコルです。

ユーザーはウェブサイトにアクセスするとき、安全でプライベートにオンラインを利用していると考えています。

サイトのコンテンツに関係なく、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を採用することをおすすめします。

Search Console ヘルプ https://support.google.com/webmasters/answer/6073543

Googleは従来よりこのHTTPS化を推奨しており、現在でもHTTPS化されていないページを表示すると下記のようなマークが表示されている。 

2017年10月からはこれが以下のように目立つようになる。

将来的にはこの「保護されていません」の警告を赤文字で表示することもGoogleは示唆している。

また、HTTPS化されているかどうかを検索ランキングのシグナルとして使用することも公式に発表している。

GoogleのヘルプページではHTTPSを実装する際のおすすめの方法を記載している。

堅固なセキュリティ証明書を使用する

サイトで HTTPS を有効にする際には、セキュリティ証明書を取得する必要があります。証明書は認証局（CA）が発行します。

発行には、そのウェブアドレスを自分の組織が実際に所有していることを証明する手続きが必要で、それによって、ユーザーを中間者攻撃から保護します。

証明書を設定する際、2,048 ビットの鍵を選択して、高度なセキュリティを確保します。強度が低い鍵（1024 ビット）の証明書を既に設定している場合は、2048 ビットにアップグレードします。

サイトの証明書を選択する際の注意事項は次のとおりです。

・技術サポートを提供している信頼できる CA から証明書を取得します。

・必要な証明書の種類を判断します。

・保護するオリジンが 1 つの場合（例: www.example.com）は単一の証明書

・保護する既に知られているオリジンが複数ある場合（例: www.example.com、cdn.example.com、example.co.uk）はマルチドメイン証明書

・保護する単一のオリジンと多数の動的サブドメインがある場合（a.example.com、b.example.com）はワイルドカード証明書

・サーバー側の 301 リダイレクトを使用する

・サーバー側の 301 HTTP リダイレクトを使って HTTPS ページまたはリソースにユーザーと検索エンジンをリダイレクトします。

Search Console ヘルプ https://support.google.com/webmasters/answer/6073543

Googleは、ユーザーがより安全にインターネットを利用できるように取り組んできた。HTTPS化を積極的に推奨するのもこの取り組みの一環である。

対応するサイトも増加しているため、今後HTTPS化に対応していないというだけで、検索エンジンにもユーザーにも安全性の低いサイトとみなされ、サイトのパフォーマンス低下につながる可能性がある。

あなたのサイトのユーザー体験をより良いものにするためにもHTTPS化の対応をおすすめする。