Chrome、HTTPSサイトで混在コンテンツのブロックを段階的に強化
コメント
注目のコメント
んー、どうなんですかね。https には二つの意味があります。一つは暗号化。こちらは広く認知されているところ。もう一つはドメイン認証。証明書を発行する際にドメインがコントロールできることを証明する必要があります。
最近はフィッシングサイトなどでも https を使うことが一般的で https のハードルが下がっています。http のブロックもいいですが、https の信頼性を上げることも必要です。
追記
証明書発行の認証はドメイン認証が主流です。EV のような企業認証を伴うものはコストも時間も現実的でないので、激減しています。そういう意味ではドメインの発行側がザルだと簡単に証明書も発行されてしまいます。メルシエさんの仰るようにドメイン発行でのチェックは有効です。
一方で証明書発行時に CA でもフィッシングチェックをやっていて、怪しいドメインをチェックする仕組みはあるので、そのデーターベースを整備していくやり方もありでしょう。
グーグルが https を後押しするのは http2 などの新しいプロトコルが https 前提であり、それを推進したい意図もあると思います。良い動きです。
因みに、 Tor のセキュリティレベル「中」は似たようなことをします。 HTTP 経由のスクリプトを全部ブロックします。
【追加】
気になるコメントがありますので補足させていただきます。
Ishii S さんの仰る通り、証明書はもともと、暗号化の他にドメイン認証のために使うという理由がありました。銀行サイトで見かける URL に企業名を表示するための OV/EV 証明書もそのためでした。しかし、近年の調査によりますと、本来の目的を満たしていないことが分かりました。
・ユーザは DV/OV/EV 証明書の存在と違いを知らない
・URL に企業名が表示されても表示されてなくても行動を変えない(警戒度が変わらない)
・端末とブラウザによって EV 証明書の表示が変わる、または表示されないため、存在意義がいっそう薄くなっている
・迷惑/詐欺サイトも、ソーシャルエンジニアリングを使って自サイトに EV 証明書を購入できる(狙う会社と同じ社名を登録して購入するのは誰でもできる)
その結果、Chrome を始めブラウザメーカは EV 証明書による企業名の表示を廃止しています。(因みに、「企業は必ず EV 証明書が必要」と叩く証明書を販売している会社に気をつけた方が良いです。ただの嘘で、売りたいだけ)
https://httpsは必要ですか.jp/
ドメイン認証は証明書ではなく、 DNS レベルで行う必要があると思います。プロの間にまだ議論が続いていますが、ドメイン認証を行うため DNSSEC のような技術になるかと思います。mixed contentのエラーは割と見かけますが、サイト運営側がエラーをしっかり確認していないことの証左でもあるので、そういうサイトへの信頼性は個人的にもちょっと下がります。
少なくとも良い開発チームは持っていないんだなと。
