Googleは本日、Chromeウェブブラウザが2026年10月にリリースされるChrome 154から、すべての公開ウェブサイトをデフォルトで安全なHTTPS接続で読み込み、公開されている非安全なHTTPウェブサイトに接続する前に許可を求めるようになると発表しました。

Google Chromeには2021年からオプトインのHTTPS-Firstモードも搭載されており、「常に安全な接続を使用する」設定が追加され、ウェブサイトへの接続をHTTPS（HyperText Transfer Protocol Secure）経由で試み、HTTPSが利用できない場合はバイパス可能な警告を表示します。

しかしGoogleは今後、このオプションをデフォルトで有効にし、ユーザーがHTTPS経由でのみウェブサイトを閲覧し、暗号化されていないHTTPプロトコルを介してインターネットサーバーとやり取りされるデータを盗聴・改ざんしようとする中間者（MITM）攻撃から常に保護されるようにします。

「1年後、2026年10月にChrome 154がリリースされる際、Chromeのデフォルト設定を変更し『常に安全な接続を使用する』を有効にします。これは、HTTPSを使用していない公開サイトへの初回アクセス時に、Chromeがユーザーの許可を求めることを意味します」とChromeセキュリティチームは述べています。

「リンクがHTTPSを使用していない場合、攻撃者はナビゲーションを乗っ取り、Chromeユーザーに任意の攻撃者が制御するリソースを読み込ませ、マルウェアや標的型攻撃、ソーシャルエンジニアリング攻撃にさらすことができます。」

Googleのさらなる説明によると、「常に安全な接続を使用する」設定（プライベートまたは公開ウェブサイトを対象）のすべてのバリエーションにおいて、ユーザーが定期的に非安全なサイトを訪れている限り、Chromeはそのサイトについて繰り返し警告を表示しません。つまり、50回中1回のナビゲーションで警告するのではなく、HTTPSを使用していない新しい（またはほとんど訪問しない）サイトを開いたときのみ警告が表示されます。

さらに、ユーザーは公開サイトのみ、または公開・プライベートサイト（企業イントラネットを含む）の両方に対して非安全な接続の警告を有効にするオプションを選択できます。

プライベートサイトもリスクがあるとはいえ、攻撃者が悪用できる機会が少なく、HTTPは自宅のWi-Fiや企業環境など、より限定的なコンテキスト内の攻撃者によってのみ悪用されるため、一般的に公開サイトより危険性は低いと考えられています。

しかし、両方の種類の警告を有効にしても、全ウェブサイトの約95〜99％がHTTPSを採用しており、2015年の採用率約30〜45％から大幅に増加しているため、ユーザーが通知で圧倒されることはないはずです。

すべてのユーザーにデフォルトで有効にする前に、Chromeは2026年4月にリリースされるChrome 147から、強化されたセーフブラウジング保護を利用している10億人以上のユーザーに対して公開サイトに「常に安全な接続を使用する」を有効にします。

「この移行はほとんどのユーザーにとって比較的スムーズに進むことを期待していますが、ユーザーは『常に安全な接続を使用する』設定を無効にすることで警告をオフにすることもできます」とGoogleは付け加えています。

「ウェブサイト開発者やIT担当者で、この機能の影響を受ける可能性のあるユーザーがいる場合は、移行が必要なサイトを特定するためにも、今すぐ『常に安全な接続を使用する』設定を有効にすることを強く推奨します。」

2023年10月、Google ChromeはHTTPSアップグレード機能を追加し、すべてのユーザーに対してページ内のHTTPリンクを自動的に安全な接続へアップグレードし、必要に応じて迅速にHTTPへフォールバックできるようにしました。

今月初めにも、Googleはウェブブラウザを再度更新し、最近訪問されていないサイトの通知権限を自動的に取り消すことで、アラートの過剰表示を減らすようにしました。