ニュースソース:Google Security Blog
以下は 2017年9月27日にBen McIlwain氏によって投稿された Broadening HSTS to secure more of the Webを要約したものです。
HSTS についてはHypertext Strict Transport Security (HSTS) とはを参照してください。
Googleは安全なインターネットでhttps接続が非常に重要だととらえています。そのため、以下のような活動を行ってきました。
- 2010年:GmailのデフォルトをHTTPSに移行しました。また、暗号化された検索をデフォルトとしました。
- 2014年:安全なサイトをGoogle検索での高ランキングとすることを発表し、ウェブサイトでのHTTPS使用を促進し始めました。
- 2016年:シンプルで無料のSSL証明書を提供するサービス、Let’s Encryptのプラチナスポンサーとなりました。
- 2017年:Chromeは安全でないサイトに関する警告の表示を開始すると発表しました。また、最近、「Google App Engine用の管理SSLの導入」を行いました。
そして今後、Googleがレジストリーの45ドメイン(45 TLD)を順次HTTPS Strict Transport Security(HSTS)プレロードリストに登録して行きます。
HSTSプレロードリストに登録されたWebサイトへのアクセスは、httpsプロトコル利用が強制されます。仮にユーザーがhttpを指定しても、ブラウザが自動的にhttpsリクエストに変更します。
一般には、HSTSプレロードリストへの登録はHSTSが設定されたWebサイト単位で行われます。
しかし、Googleの計画は45ドメイン(45 TLD)をHSTSプレロードリストへ登録するというもので、登録されたドメイン利用Webサイトはデフォルトでhttpsアクセスが強制されます。
45ドメイン(45 TLD)のうち、.googleは登録済みで、続いて .fooと .devから登録を開始します。