Bleeping Computerは10月30日(米国時間)、「Google Chrome now auto-upgrades to secure connections for all users」において、GoogleがすべてのChromeユーザーに対し、HTTPリクエストを自動的にHTTPSリクエストに変更する「HTTPSアップグレード」を開始したと報じた。Googleはこれまでにも同機能を限定的に展開していたが、2023年10月16日に安定版のすべてのユーザーが対象になったという。

  • Google Chrome now auto-upgrades to secure connections for all users

    Google Chrome now auto-upgrades to secure connections for all users

歴史的に、ブラウザはHTTPSをサポートするサイトにおいて安全ではないHTTPリクエストを行うことがある。Google Chromeでは、次のような条件でHTTPリソースを読み込むことがあるという。

  • これまでに訪問したことがなく、HSTS(HTTP Strict Transport Security)を使用するサイト
  • HTTPをHTTPSにリダイレクトするが(デフォルトはHTTPS)、HSTSを使用しないサイト
  • HTTPとHTTPSの両方をサポートしているが、HTTPをHTTPSにリダイレクトしないサイト

このように、ユーザーはサイトがHTTPSをサポートしているにもかかわらず安全ではないHTTP接続を行い、プライバシとセキュリティを危険にさらすことがある。この問題を回避するためにHSTSにより状況を改善する試みが行われてきていたが、対応は一部のサイトにとどまっている。また、クローラーにより収集した情報に基づいたHTTPS対応サイトの一覧を保持する試みは、常に最新の状態に更新するために帯域幅を大量に消費する可能性があるうえ、ユーザーに情報が届く頃には一覧が古くなっている可能性がある。Googleはこのような問題を解決するために、HTTPSアップグレードを導入したという。

Googleによると、HTTPSアップグレードはHTTPリクエストをHTTPSリクエストに自動的かつ楽観的にアップグレードし、問題が起きた場合はHTTPへ高速フォールバックする機能とのこと。この機能により、Webサイト上のユーザのプライバシの保護とセキュリティの向上が期待されている。

GoogleはHTTPSアップグレードの問題点として、HTTPとHTTPSで異なるコンテンツを提供するサイトに正常にアクセスできなくなる可能性があることを挙げている。2020年以前の研究において、HTTPとHTTPSで異なるコンテンツを少なくとも1つ提供するサイトは全体の1~3%程度と推定されている。

GoogleはHTTPSアップグレードによってこれらサイトがユーザーに与える影響は不明としつつ、サイト管理者は「opt-outヘッダ」により望まないHTTPSアップグレードを防止できるとしている。