この記事は Google Registry、Ben McIlwain による Google Security Blog の記事 "Broadening HSTS to secure more of the Web" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
Google がもっとも重視しているのはウェブのセキュリティです。ウェブのセキュリティ ツールボックスの中でも特に強力なツールの 1 つがウェブサイトへの接続を HTTPS で暗号化することです。これによって、ウェブの通信トラフィックの盗聴、改変、誤配信などを防げるようになります。私たちは、Google 内部でも、さらに広いインターネットの世界でも、HTTPS の利用をさらに広げるためにさまざまなアクションをとってきました。
2010 年には Gmail のデフォルトが HTTPS になり、デフォルトで検索の通信も暗号化されました。2014 年には、Google 検索で保護されたウェブサイトのランキングを上げることを通して、HTTPS の利用が推奨されるようになりました。また、2016 年には、無料で簡単に使える SSL 証明書を提供する Let’s Encryptの主要スポンサーになりました。今年には、Chrome が保護されていないサイトで警告を表示するようになることをお知らせし、少し前には、App Engine にフル マネージド SSL 証明書が導入されました。そして本日は、私たちのツールボックスに、HTTPS Strict Transport Security(HSTS)プリロード リストというもう 1 つの強力なツールが新たに加わったことをお知らせします。
HSTS プリロード リストは、すべての主要ブラウザ(Chrome、Firefox、Safari、Internet Explorer/Edge、Opera)に組み込まれています。これは、ブラウザが自動的に HTTPS で保護された接続を強制するホスト名のリストです。たとえば、リストに gmail.com が含まれている場合、前述の各ブラウザは Gmail に対して保護されていない接続を利用しません。ユーザーが http://gmail.comと入力すると、リクエストを送信する前にブラウザが https://gmail.comに書き換えます。http から https にリダイレクトするページは盗聴される恐れがありますが、この対応によってブラウザがそのページを読み込まなくなるので、セキュリティは大きく向上します。
HSTS プリロード リストには、個々のドメイン、サブドメイン、トップレベル ドメイン(TLD)を含めることができます。リストへの追加は、HSTS のウェブサイトから行うことができます。TLD とは、.com、.net、.org など、ドメイン名の最後の部分です。Google は 45 個の TLD を管理しており、その中には .google、.how、.soy などが含まれています。2015 年、Google は .google を HSTS プリロード リストに追加し、初めて安全な TLD を作成しました。今後、.foo と .dev を皮切りに、Google が管理する多数の TLD を HSTS に追加していく予定です。
TLD レベルの HSTS を利用することで、その名前空間をデフォルトで保護することができます。登録者は、ウェブサイトに保護された TLD を使用し、SSL 証明書を設定するだけで、個々のドメインやサブドメインを HSTS プリロード リストに追加することなく確実に自身やユーザーを保護できます。また、通常は、ドメイン名がリストに追加されてから、ブラウザのアップグレードが大半のユーザーに行き渡るまでには、数か月を要します。そのため、既に保護されている TLD を使用すると、待たされることなく、すぐにサイトを保護することができます。TLD 全体を HSTS プリロード リストに追加すると、その TLD に属するすべてのドメインが保護され、それぞれのドメインを個別に追加する必要がなくなるので、効率も上がります。
近々、これらの安全な TLD のうちいくつかに登録できるようにしたいと考えています。TLD 全体を含む HSTS が、新しい TLD のセキュリティ標準になることを期待しています。
Reviewed by Eiji Kitamura - Developer Relations Team![]()
Google がもっとも重視しているのはウェブのセキュリティです。ウェブのセキュリティ ツールボックスの中でも特に強力なツールの 1 つがウェブサイトへの接続を HTTPS で暗号化することです。これによって、ウェブの通信トラフィックの盗聴、改変、誤配信などを防げるようになります。私たちは、Google 内部でも、さらに広いインターネットの世界でも、HTTPS の利用をさらに広げるためにさまざまなアクションをとってきました。
2010 年には Gmail のデフォルトが HTTPS になり、デフォルトで検索の通信も暗号化されました。2014 年には、Google 検索で保護されたウェブサイトのランキングを上げることを通して、HTTPS の利用が推奨されるようになりました。また、2016 年には、無料で簡単に使える SSL 証明書を提供する Let’s Encryptの主要スポンサーになりました。今年には、Chrome が保護されていないサイトで警告を表示するようになることをお知らせし、少し前には、App Engine にフル マネージド SSL 証明書が導入されました。そして本日は、私たちのツールボックスに、HTTPS Strict Transport Security(HSTS)プリロード リストというもう 1 つの強力なツールが新たに加わったことをお知らせします。
HSTS プリロード リストは、すべての主要ブラウザ(Chrome、Firefox、Safari、Internet Explorer/Edge、Opera)に組み込まれています。これは、ブラウザが自動的に HTTPS で保護された接続を強制するホスト名のリストです。たとえば、リストに gmail.com が含まれている場合、前述の各ブラウザは Gmail に対して保護されていない接続を利用しません。ユーザーが http://gmail.comと入力すると、リクエストを送信する前にブラウザが https://gmail.comに書き換えます。http から https にリダイレクトするページは盗聴される恐れがありますが、この対応によってブラウザがそのページを読み込まなくなるので、セキュリティは大きく向上します。
HSTS プリロード リストには、個々のドメイン、サブドメイン、トップレベル ドメイン(TLD)を含めることができます。リストへの追加は、HSTS のウェブサイトから行うことができます。TLD とは、.com、.net、.org など、ドメイン名の最後の部分です。Google は 45 個の TLD を管理しており、その中には .google、.how、.soy などが含まれています。2015 年、Google は .google を HSTS プリロード リストに追加し、初めて安全な TLD を作成しました。今後、.foo と .dev を皮切りに、Google が管理する多数の TLD を HSTS に追加していく予定です。
TLD レベルの HSTS を利用することで、その名前空間をデフォルトで保護することができます。登録者は、ウェブサイトに保護された TLD を使用し、SSL 証明書を設定するだけで、個々のドメインやサブドメインを HSTS プリロード リストに追加することなく確実に自身やユーザーを保護できます。また、通常は、ドメイン名がリストに追加されてから、ブラウザのアップグレードが大半のユーザーに行き渡るまでには、数か月を要します。そのため、既に保護されている TLD を使用すると、待たされることなく、すぐにサイトを保護することができます。TLD 全体を HSTS プリロード リストに追加すると、その TLD に属するすべてのドメインが保護され、それぞれのドメインを個別に追加する必要がなくなるので、効率も上がります。
近々、これらの安全な TLD のうちいくつかに登録できるようにしたいと考えています。TLD 全体を含む HSTS が、新しい TLD のセキュリティ標準になることを期待しています。
Reviewed by Eiji Kitamura - Developer Relations Team