ニュース
YouTubeへのトラフィックは97%がHTTPS接続、「www.google.com」ではHTTPS接続を強制する「HSTS」実装
2016年8月5日 17:20
米Googleは、YouTubeへのトラフィックの97%がHTTPSで暗号化されているとのデータを公表した。また、ウェブサイト側からウェブブラウザーに対して、HTTPではなくHTTPSで接続してくるよう指示する仕組み「HTTP Strict Transport Security(HSTS)」を、「www.google.com」ドメインに実装したことも明らかにした。
“HTTPS Everywhere”とのミッションを掲げ、自社サービスにおける常時HTTPS化を推進しているGoogleは今年3月、「Google透明性レポート」の中に「HTTPS」のセクションを新設。自社の主なサービスはもとより、世界の主要サイトにおけるHTTPS対応状況についての調査結果を報告している。
これによると、Google全体のサーバーに対するリクエストのうち、HTTPSで暗号化された接続の割合は、7月17日時点で84%。サービス別に割合が公開されているものを見ると、2014年3月にHTTPSのみを使用することを発表したGmailがそれ以降100%となっているほか、 7月17日時点ではGoogleマップが86%、広告が81%、Googleニュースが69%などとなっている。
Googleは今回、この公表データに新たにYouTubeとGoogleカレンダーの2サービスも追加したことを8月1日付で発表。7月17日時点で、YouTubeのHTTPS接続率が97%、Googleカレンダーが93%であることが公表された。
Googleでは、YouTubeにHSTSを導入していることも明らかにしている。その一方で、YouTubeにおけるHTTPS接続が100%にならないのは、モダンなHTTPSに完全対応していない端末があるためだと指摘。Googleでは、YouTubeユーザーが可能な限り安全に利用できるよう、セキュアではない接続は段階的に排除していくとしている。
www.google.comドメインにおけるHSTSの実装は、YouTubeのHTTPS接続率の公表に先立ち、7月29日付で発表されたものだ。
HSTSは、一度HTTPSで接続したウェブサイトに対しては、HTTPの代わりにHTTPSで接続させるための仕組み。HSTSを導入しているHTTPSサイト側からウェブブラウザーに対して、HTTPSで接続を試みるようHTTPヘッダーで伝える。これにより、HTTPSサイトであるにもかかわらず、ユーザーの誤入力や他サイトからのハイパーリンク設定ミスなどにより、セキュアでなない「http://~」でアクセスしてきて、それを「https://~」にリダイレクトさせるといったプロセスを経ることなく、HTTPSで接続してくるよう指定できる。
なお、www.google.comドメインでは現時点では、HSTSの実装を開始したばかりということで、潜在的な問題発生のリスクを考慮し、HTTPヘッダーで指定するHSTSの有効時間(max-age)を1日間という短い時間に設定しているという。Googleでは、これを今後数カ月で1年間まで長くするとしている。