YouTubeへのトラフィックは97％がHTTPS接続、「www.google.com」ではHTTPS接続を強制する「HSTS」実装

　米Googleは、YouTubeへのトラフィックの97％がHTTPSで暗号化されているとのデータを公表した。また、ウェブサイト側からウェブブラウザーに対して、HTTPではなくHTTPSで接続してくるよう指示する仕組み「HTTP Strict Transport Security（HSTS）」を、「www.google.com」ドメインに実装したことも明らかにした。

　“HTTPS Everywhere”とのミッションを掲げ、自社サービスにおける常時HTTPS化を推進しているGoogleは今年3月、「Google透明性レポート」の中に「HTTPS」のセクションを新設。自社の主なサービスはもとより、世界の主要サイトにおけるHTTPS対応状況についての調査結果を報告している。

　これによると、Google全体のサーバーに対するリクエストのうち、HTTPSで暗号化された接続の割合は、7月17日時点で84％。サービス別に割合が公開されているものを見ると、2014年3月にHTTPSのみを使用することを発表したGmailがそれ以降100％となっているほか、 7月17日時点ではGoogleマップが86％、広告が81％、Googleニュースが69％などとなっている。

　Googleは今回、この公表データに新たにYouTubeとGoogleカレンダーの2サービスも追加したことを8月1日付で発表。7月17日時点で、YouTubeのHTTPS接続率が97％、Googleカレンダーが93％であることが公表された。

GoogleのサービスのHTTPS接続率（「Google透明性レポート」より）

　Googleでは、YouTubeにHSTSを導入していることも明らかにしている。その一方で、YouTubeにおけるHTTPS接続が100％にならないのは、モダンなHTTPSに完全対応していない端末があるためだと指摘。Googleでは、YouTubeユーザーが可能な限り安全に利用できるよう、セキュアではない接続は段階的に排除していくとしている。

　www.google.comドメインにおけるHSTSの実装は、YouTubeのHTTPS接続率の公表に先立ち、7月29日付で発表されたものだ。

　HSTSは、一度HTTPSで接続したウェブサイトに対しては、HTTPの代わりにHTTPSで接続させるための仕組み。HSTSを導入しているHTTPSサイト側からウェブブラウザーに対して、HTTPSで接続を試みるようHTTPヘッダーで伝える。これにより、HTTPSサイトであるにもかかわらず、ユーザーの誤入力や他サイトからのハイパーリンク設定ミスなどにより、セキュアでなない「http://～」でアクセスしてきて、それを「https://～」にリダイレクトさせるといったプロセスを経ることなく、HTTPSで接続してくるよう指定できる。

　なお、www.google.comドメインでは現時点では、HSTSの実装を開始したばかりということで、潜在的な問題発生のリスクを考慮し、HTTPヘッダーで指定するHSTSの有効時間（max-age）を1日間という短い時間に設定しているという。Googleでは、これを今後数カ月で1年間まで長くするとしている。