Chrome 93でHTTPSの鍵マーク非表示設定が可能に

Kota Morishita -

Chrome 93からHTTPS通信時にアドレスバーに表示される鍵マークを非表示にする設定"Omnibox Updated connection security indicators"がユーザー設定可能な項目として導入されました。

Chrome 93 のデフォルト状態では鍵マークが表示されている

このサイトでもhttps通信となるようにしているため、鍵マークが表示されています。

httpsとは?

インターネットが発明された当初から利用されているhttpという通信方式をより安全に利用できるようにした通信規約(プロトコル)です。

  • 通信内容が暗号化されている。
  • アクセスしているサイトが本物であるかチェックできる。(なりすまし防止)
  • サイトの内容が安全であることを保証している訳ではない。

しかし、この機能はデフォルトでは有効となっていません。

デフォルト設定ではない

Chromeでは新しい機能や変更が行われる際、試験的にいくつか前のバージョンから機能を導入しユーザー設定によりON/OFF可能とする場合が多くあります。
現時点では実験的な設定になります。

設定を表示する

Chromeでアドレスバーに chrome://flags 入力しページを表示するとユーザー設定可能な項目にアクセスすることができます。

MEMO

このページに表示されている項目は実験的なものになるため、設定を変更することにより動作が不安定になる場合もあります。

上部の検索ボックスで、"security indicators"等と検索し、"Enabled"に変更します。

※設定変更後にはChromeを再起動する必要があります。

そして有効化するとこのような下向きの三角表示になります。

なぜ鍵マークを消す必要があるのか?

理由について調べてみましたが、公式には言及されている情報を見つけることが出来ませんでした。

公式情報以外には
Chromeの公式記事ではなく、第三者のblogなどではここに機能が追加されるのでは?等との憶測があります。公式情報を見つけた場合は教えて頂けると幸いです。

私の見解

ここ数年間でほぼ全てのサイトがhttpsに対応したことにより、鍵マークが表示されているため、ユーザーに一定の安心感を与えるものになります。

しかしhttpsはあくまでも通信の安全のみを保証するもので、サイトの内容については一切関知していません

MEMO

EV SSL等、企業が実際に存在しているか確認できるタイプもあります。

近年ではhttpsの利用に必要な証明書を無料で取得できる機関もあり、手の混んだフィッシング詐欺サイトではSSLを採用している場合もあります。

そのため鍵マークが表示されることによりユーザーがサイトが安全であると勘違いしないようにするための措置と思われます。

なぜ詐欺サイトでもSSLが取得できるのか

SSLはあくまでもWebを安全に利用するためのテクノロジーであり、そこに善悪の判断は介入していません。
そのため、詐欺サイトであっても他のサイトと同様にSSLを利用可能です。また、SSL(https)がすでに導入されているサイトがハッキングの被害に遭い悪用される場合もあります。

http通信は警告される

https通信は鍵マークから下向きの三角印に変更されましたが、http通信の場合は以前までのバージョンと同様に引き続き警告されます。

http通信時は Not Secure と表示される(Chrome 93)

これはサイトのコンテンツが危険という意味ではありませんが、なりすましサイトの被害やインターネット上の経路を暗号化されていないデータが通過することになるため安全とは言えない状況になります。

なぜ安全でないのか?

例えばクレジットカード番号を暗号化されていないまま送信するということは、利用しているデバイスからサーバーまでの通信経路全てにおいて、その情報が読み取れるという意味になります。
暗号化されている場合、通過したデータからクレジットカード番号を解読することが難しくなります。

もちろん近年ではほとんどのサイトがhttpsに移行しているためこのような問題は減少傾向にあります。

http通信は無くなるのか?

次世代の通信規格 HTTP/3 では、ssl(https)の利用が前提であり将来的には無くなっていくものと思われますが、現時点でもかなり少なくなったとはいえ http のみで提供を行っているサイトも存在しています。

MEMO

HTTP/3はGoogleが開発したQUICをベースに標準化団体により策定が行われた次世代のインターネット・プロトコルです。
しかし、現時点でもGoogleとChromeでの通信は半分以上がHTTP/3が利用されているとも公表されており、2021年現在はその過渡期となりますが、全てが変わるには10年単位での時間が必要になります。

また現時点でも古い通信規格(プロトコル)である http/1.1も現役でサポートされており、現時点ではこれらのサポートが終了する予定にはなっていないように思います。

そのため、これらの古い通信規格が無くならない限り、完全にhttp通信が無くなる事はありえないため、まだまだ時間がかかるものと思われます。

まとめ

非表示設定はユーザーの設定次第
現時点ではデフォルトで有効化された状態にはなっていません。そのためユーザーが手動で設定を行わない限り鍵マークが表示されます。
http通信のみ警告
すでにほとんどの通信がhttps化され、httpは時代遅れのものとなりつつあります。インターネットの仕組み上、巧妙に細工されたhttp通信はなりすましの被害に気が付かない事すらあります。
Only-httpsにはまだまだ時間が
暗号化されていない通信方式であるhttpはまだまだ現役で使われており、この通信方式はまだサポートが終了する予定もありません。そのため徐々にhttpサイトは減少していくものの、現状維持傾向になるように思います。