Googleは9月27日(米国時間)、「Google Online Security Blog: Broadening HSTS to secure more of the Web」において、Webをより安全にする取り組みとしてHTTPS Strict Transport Security (HSTS)プリロードリストの採用を進めていると伝えた。HSTSプリロードリストはすでに主要ブラウザ(Chrome、Firefox、Safari、Internet Explorer、Microsoft Edge、Opera)で採用されていると説明がある。
HSTSプリロードリストはHTTPS接続を要求するホスト名のリスト。ブラウザはHSTSプリロードリストに掲載されたホストに対する接続が要求された場合、最初に接続する段階からHTTPSでの接続を開始する。
例えば、ユーザーがhttp://gmail.comと入力したとしても、HSTSプリロードリストに対応したブラウザはホワイトリストと照合してgmail.comが対象であると判断し、https://gmail.comにアクセスするようになる。いったんサーバに接続してからHTTPSに切り替わるよりも安全な接続になると説明がある。
|
HTTPS Strict Transport Security (HSTS) preload list |
GoogleはHTTPSによる通信がより安全な通信をもたらすとして、数年にわたってHTTPからHTTPSへの移行を推進している。Googleの提供するサービスをHTTPSに切り替えることはもちろん、Google検索のランキングもHTTPS経由で提供されているサイトほどランクを良くするといったように変更したり、無償でTLS/SSL証明書が取得できるように認証局に協力したりといった取り組みを行っている。
