ユーザーのセキュリティ向上のため、Googleは来年、Chromeのデフォルト設定を変更し、ブラウザがHTTPSをサポートするウェブサイトのみにアクセスするようにします。
「常に安全な接続を使用する」設定は、2022年にChromeでオプトイン機能として導入され、テストのためにChrome 141で一部のユーザーにデフォルトで有効化されました。
2026年10月から、Chrome 154のリリースが予定されている時点で、「常に安全な接続を使用する」設定は、すべてのユーザー、すべての公開サイトでデフォルトで有効になります。
安全な接続を使用していないサイトにアクセスしようとすると、Chromeは警告を表示し、ユーザーの明示的な許可を求めます。
Googleによれば、HTTPS接続の利用は、攻撃者によるナビゲーションの乗っ取りを防ぐため、Chromeユーザーのブラウジング体験をより安全にします。
「リンクがHTTPSを使用していない場合、攻撃者はナビゲーションを乗っ取り、Chromeユーザーに任意の攻撃者が制御するリソースを読み込ませたり、マルウェアや標的型攻撃、ソーシャルエンジニアリング攻撃にさらす可能性があります」とGoogleは述べています。
HTTPSを導入しているウェブサイトであっても、1つでもHTTP接続を提供している場合はリスクが残ります。Googleによれば、サイトが即座にHTTPSドメインへリダイレクトし、Chromeが「保護されていません」というURL警告を表示しない場合、ユーザーは安全でない接続に気付かないかもしれません。
すでに95%以上のウェブサイトが暗号化された接続を利用しており、「常に安全な接続を使用する」設定をデフォルトで有効にしたGoogleの最近の実験では、Chromeが安全でない接続の警告を表示したのは全ナビゲーションの3%未満でした。
「『常に安全な接続を使用する』がデフォルトとなり、さらに多くのサイトがHTTPから移行すれば、実際の警告数は現在よりもさらに少なくなると予想しています」とインターネット大手は述べています。
Googleは、これらの安全でない接続に責任を持つ複数の組織に連絡を取り、今後1年以内に完全にHTTPSへ移行することを期待しています。Googleによれば、ほとんどのHTTPナビゲーションは、即座にHTTPSサイトへリダイレクトするウェブサイトから発生しています。
さらに、最近導入されたローカルネットワークアクセス許可により、混在コンテンツ(安全な接続と安全でない接続の両方で提供される)を提供するウェブサイトのHTTPSへの移行が妨げられる問題の解消が期待されます。この許可が有効化されると、ウェブサイトは混在コンテンツチェックを回避できるようになります。
Chrome 154で「常に安全な接続を使用する」設定をデフォルトで有効にする前に、Googleは2026年4月、Chrome 147において、Chromeの強化型セーフブラウジング保護を有効にしているユーザー向けにこの設定を有効化します。
HTTPサイトに対する警告を完全に無効化したい場合、ユーザーは「常に安全な接続を使用する」設定を無効にするだけで済みます。
翻訳元: https://www.securityweek.com/chrome-to-turn-https-on-by-default-for-public-sites/
