Webサイトの運営者が気づかないうちに、アクセスが急減したりユーザーの離反が広がったりするサイトが2018年10月に続出するかもしれない。
米グーグル(Google)は2018年10月16日にWebブラウザーの最新版「Chrome 70」をリリースした。「常時SSL/TLS」という暗号化技術を全面導入していないWebサイトにアクセスして文字を入力しようとすると「保護されていません」という警告が赤色の文字で表示する。7月にリリースされた「Chrome 68」から同様の警告が出ているが「70」でさらに強調されるようになった。
Chromeのシェアは4~6割といわれ、数あるWebブラウザーの中で最大だ。常時SSL/TLSはユーザーがWebブラウザーでWebサーバーにアクセスする際に、データを暗号化して安全性を高める技術である。WebブラウザーとWebサーバーとの間でHTTP(Hypertext Transfer Protocol)というプロトコル(通信手順)でデータをやり取りすると、外部から読み取れる平文がそのままネットに流れてしまう。そこで常時SSL/TLSで通信の暗号化が必要になる。
導入するにはWebサーバーの電子証明書を導入して、各サイトのURLを「https://」で始まる文字列に変更する必要がある。かつてはSSL(Secure Sockets Layer)という技術が使われていたため「常時SSL(あるいは常時SSL化)」と呼ばれてきたが、現在はTLS(Transport Layer Security)を使うので「常時TLS」や「常時HTTPS」とも呼ぶ。
対応がまちまちの東京都のWebサイト
試しに筆者がChrome 70を使って主なWebサイトにアクセスしたところ、常時SSL/TLSに対応していないWebページでは確かに赤い警告を表示した。
例えば東京都のWebサイトにある検索窓に文字を入れようとすると警告を表示した。東京都のサイトはChromeの利用も推奨しているにもかかわらずだ。警告を無視して検索するにはやや勇気が必要になりそうだ。
一方で、都が2018年12月上旬まで募集している東京オリンピック・パラリンピックの都市ボランティアに応募するためのメールアドレス登録ページは警告が出ない。きちんと暗号化している。一部のイベント申し込みページは個人情報を入力しなければならないのに暗号化していないページもあったが、現在は解消されつつあるようだ。同じ都のトップページからたどれるWebサイトなのに、安全性はばらばらなのが実態だ。
