正式に『Chrome 70』がリリースされたということです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

とうとうGoogle Chrome 70がリリースになりました。

これにより、HTTPS化（常時SSL化）されていないWebサイト（ページ）ではさらに注意が必要となります。

Chrome70リリースで赤色警告始まる

今回のChrome 70で気をつけたいのは、ノーマル色（グレー）の『！保護されていない通信』に加えてフォームなどへのデータ入力においては『！保護されていない通信』のように赤色の警告表示に変わるようになることです。

ノーマルなグレーであれば気づかない可能性もありますが、フォームなどにデータを入力したと同時に赤色の警告表示に変わりますのでさすがに目立ちます。

これが意味するものは『信頼性の低下』、つまり『イメージダウン』です。

安全性以外にも心理的な要素がありますので、人によっては問い合わせなどを止めてしまう可能性も秘めています。

ユーザーが不安を覚え、Webサイトから離脱してしまい、問い合わせや商品購入の減少を招く可能性があるとしたらどうしますか？

この段階においてもHTTPS化（常時SSL化）を行わないことにメリットはありません。

早急に対応を行うべきです。

また、ほとんどが対応済みかと思いますが、2016年6月1日以前にシマンテック、GeoTrust、RapidSSLが発行したSSL/TLSサーバ証明書はChrome 70より完全に信頼が停止されます。

証明書の再発行費用は発生しないため、まだ再発行を受けていない方は早急に対応されることをお勧めします。

警告対象であるかが不明な場合は以下のサイトからチェックしてみてください。

『Google Chromeによる警告をチェックする』

次のChrome 66は、4月17日に安定版の公開が予定されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

WebブラウザのGoogle Chrome 65がリリースされたばかりですが、次のバージョンChrome 66において一部のSSL証明書への信頼が停止されます。

Symantec系SSL証明書の信頼停止

以前にもこのブログで取り上げましたが、WebブラウザのGoogle Chrome 66において、Googleに信頼できないと判断された『Symantec系認証局（CA）』の『Thawte』、『VeriSign』、『Equifax』、『GeoTrust』、『RappidSSL』が発行したSSL証明書が、同Webブラウザにおいて信頼が停止されます。

さらに、10月16日に公開が予定されているChrome 70においては、これら以外の残りのSymantec証明書に関してもすべて信頼が停止されることが予告されています。

信頼が停止されたSSL証明書のままであった場合、Chromeにて当該サイトを表示する際にエラー警告が表示されるため、事業者にとっては最低でもイメージダウンやアクセス数の低下につながってしまいます。

これが表示された場合であっても詳細設定から『〇〇にアクセスする（安全ではありません）』をクリックすれば実際のページに進めますが、『安全ではない』と表示されている状態で先に進もうとする人は心理的に少ないです。

また、DigiCertがSymantecの証明書事業を買収した後にDigiCertから再発行された証明書は信頼できるものとして扱われるため、これらの措置の対象からは外れます。

問題が起きないようにするため、ウェブサイトのSSL証明書を直ちにチェックして対応する必要があります。

参考：『Google Security Blog:Distrust of the Symantec PKI: Immediate action needed by site operators』

追伸：1月20日より提供されているChromeの試験運用版（Canary）、3月15日にリリースされるChrome 66のβ版においては4月17日公開予定の安定版を待たずに警告が表示されます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨年、イスラエルのStartComと中国のWoSignという2つの認証局（CA）において、業界の規定に反する電子証明書が不正に発行されていたことが発覚しました。

それを受け、これら2社が発行する電子証明書がブロックされる動きが出ました。

GoogleはChrome56でブロックした

Googleは、StartComとWoSignの2社の認証局（CA）は高い基準を維持していないことから、ポリシー上、Chromeブラウザでは信頼しないものとして判断しました。

これは、Chromeブラウザ55においては従来通り信頼されていましたが、先月リリースされたChrome56以降からは信頼されなくなり、『！保護されていない通信』として警告し、SSL証明書が有効ではないことも表示しています。

これに関しては、MozillaのFirefoxブラウザ、AppleのSafariブラウザにおいても信頼されず、警告表示、もしくは表示されないといったブロックがなされています。

従って、この2社のSSL証明書を使用しているとユーザーの誤解を招く恐れがあります。

（現状は問題なく表示されている場合でも、近いうちに不安定な状態になり、最終的には警告表示がされるようになります。）

失敗しないSSL証明書選び

ウェブの暗号化（SSL化/https化）を行う際において必ず必要になるSSL証明書ですが、やはり日本国内においても普通に販売されているものを選択すべきでしょう。

Symantec（シマンテック）、GeoTrust（ジオトラスト）、GlobalSign（グローバルサイン）、Comodo（コモド）、SECOM（セコム）、DigiCert（デジサート）など、よく知られたSSL証明書を選択してください。

わからない場合はウェブ事業者に相談すれば問題ありません。

くれぐれも怪しげなSSL証明書には手を出さないようにご注意ください。