HTTPS に関するよくある質問

Google での HTTPS への対応

暗号化とは

昔は情報が紙に記されており、それを金庫やダイヤル錠で保護していました。暗号化とは、それと同様に現代の電子情報を保護する方法です。テクノロジーを利用して暗号作成が行われます。つまり、情報を理解不能な形に変換（エンコード）するのです。鍵がなければ、これを理解可能な形に戻す（デコード）ことができません。たとえば、デバイスの暗号化の場合、暗号を復号化するには、情報を解読するための PIN か、プログラムやデバイスによって明確に指示された複雑なアルゴリズムが必要になります。暗号化では、計算を効果的に活用して情報のエンコードやデコードを行います。

HTTPS とは何ですか？

HTTP（ハイパーテキスト転送プロトコル）は、ブラウザがウェブサイトに接続する際に使われる技術です。HTTPS とは、暗号化された HTTP 接続で、安全性を高めたものです。ウェブサイトに接続する際、URL に HTTP ではなく HTTPS が含まれていると、その接続が安全であることがわかります。また、ほとんどのブラウザには、安全な接続であることを示すアイコンがあります。たとえば、Chrome では緑色の鍵アイコンが表示されます。

HTTPS を使う必要があるのはなぜですか？

機密情報をやり取りするサイトでなくても、ウェブサイトは HTTPS で保護する必要があります。HTTPS は、ウェブサイトを保全し、サイトにアクセスするユーザーのプライバシーやセキュリティを保護するものです。また、ウェブプラットフォームの強力な新機能のメリットを得られるのは、HTTPS を利用するサイトに限られます。

Google は HTTPS についてどのようなことを目標としていますか？

Google では、ウェブを利用するすべてのユーザーの安全と保安の基礎となるのが強力な暗号化であると考え、Google のあらゆるサービスで暗号化に対応することを目指して尽力しています。Google での HTTPS への対応に関するページで、この目標に向けてのリアルタイムの進捗状況をご覧になれます。

暗号化が重要なのはなぜですか？

やり取りされるデータは、A 地点から B 地点に移動する際、いくつものネットワークが入り組んだ中を通ります。このような移動の間には、意図した受け手以外がネットワークを不正に操作してデータを傍受する恐れがあります。同様に、昨今は単なる電話ではなく多数の機能を備えたモバイルデバイスに頼る傾向が強まっていますが、こうしたデバイスでは、写真や通信記録、メール、個人データが、利用しやすいよう常にログインしたままのアプリに保存されています。デバイスを紛失したり盗まれたりすると、多くの個人情報に第三者がアクセスできる可能性が高まり、個人情報の盗用や、金銭に関わる不正、個人への危害といった危険にさらされることになります。

このような状況において、暗号化は身を守るのに役立ちます。やり取りするデータを暗号化すると、ウェブを移動する際に傍受されたとしても、データの内容は理解不能なものとなります。これを「暗号文」といい、暗号化されていない状態のデータを「平文」といいます。デバイスの暗号化に関しては、暗号化されたデバイスの復号化に必要な PIN やコードがなければ、デバイス上のコンテンツを盗もうとしてもアクセスできず、デバイスのデータ全体を消去することしかできません。データを失うのは困りますが、個人情報が自分以外の手に渡ってしまうよりはましなことです。

暗号化にはどのような種類がありますか？

送信中の暗号化: エンドユーザーからサードパーティサーバーへの情報の流れを保護します。たとえば、ショッピングサイトでクレジットカードの認証情報を入力する際、安全な接続により、その情報が途中で第三者に傍受されるのを防ぎます。情報を復号化できるのは、自分と接続先のサーバーのみとなります。

エンドツーエンドの暗号化: 送信者と受信者のみが、データの暗号化と復号化を行うための鍵を持ちます。データのやり取りに使われるシステムを管理するサービスプロバイダは、データの実際の内容にアクセスすることはできません。

保存データの暗号化: 送信中でない情報を保護します。たとえば、パソコンのハードディスクでは、保存データの暗号化を利用して、パソコンが盗まれた場合でも第三者がファイルにアクセスできないようにすることが可能です。

これらのグラフにはどのようなプロトコルが含まれていますか？

これらのグラフは、HTTP、HTTP/2、HTTPS、SPDY、QUIC によるリクエストを表しています。

暗号化されていると見なされるのはどのようなプロトコルですか？

HTTPS、SPDY、QUIC によるリクエストは、デフォルトで TLS が組み込まれるため、暗号化されているものと見なされます。また、HTTP/2 も同様です。Google では、暗号化されていない HTTP/2 接続には対応していません。

他のプロトコルに関するデータはどこで確認できますか？

Google では現在、Gmail のメールプロトコルでの TLS の使用に関するデータを公開しています。記載されていないその他のプロトコルは、今のところ、このレポートの対象外となっています。

2013 年 12 月以前の正確なデータはありますか？

残念ながらありません。2013 年 12 月より前のデータソースは、HTTPS 採用状況を測るのに利用できるほど正確ではないためです。

HTTPS の使用状況データはどのように測定されますか？

測定の対象は、使用統計情報の共有を選択した Chrome ユーザーから提供されたデータです。国や地域は、ユーザーのブラウザに関連付けられた IP アドレスに基づいて分類されます。

HTTPS の使用統計情報について、この 10 件の国と地域が選定されたのはなぜですか？

世界各地の HTTPS の使用状況を比較するにあたり、この 10 件の国と地域を選定した理由は、これらの国の Chrome ユーザー数が相当数にのぼり、また地理的にも分散されているためです。

トップサイトの HTTPS [アーカイブ済み]

「HTTPS サイトとして機能」とはどのような意味ですか？

Googlebot が https://[ドメイン名] に正常にアクセスでき、HTTP ページからリダイレクトされなかった場合、そのサイトは HTTPS サイトとして機能しているものと見なされます。

「最新 TLS 構成」とはどのような意味ですか？

2016 年 2 月以降、Google では、サイトにおいて AEAD モードの操作を使う暗号スイートで TLS v1.2 が利用されている場合、最新の HTTPS を利用しているサイトであると判断します。

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

「デフォルト HTTPS」とはどのような意味ですか？

「デフォルト HTTPS」とは、そのサイトで HTTP リクエストが HTTPS URL にリダイレクトされるという意味です。ただし、「デフォルト HTTPS」に該当するサイトであっても、ドメインに対する HTTPS リクエストが拒否される場合があります（たとえば、http://[ドメイン名] は https://[サブドメイン名].[ドメイン名] にリダイレクトされる一方で、https://[ドメイン名] は接続が拒否されます）。

また、サイトが「デフォルト HTTPS」と見なされている場合でも、そのサイトのあらゆるページですべてのトラフィックに HTTPS が使用されることが保証されるわけではないため、ご注意ください。Chrome では、アクセスするすべてのページで HTTPS の状態が通知されます。別のブラウザをお使いの場合は、そのブラウザで HTTPS のさまざまな状態がどのように表示されるかを詳しく知っておく必要があります。

どのようなデータソースを使用していますか？

さまざまな公開データ（Alexa のトップサイトなど）と Google データを使用しています。これらのデータは、2016 年の初めに数か月かけて集めたもので、このリストの基盤となっています。

このリストは人気順になっていますか？

いいえ。このリストでは、Google 以外のトップ 100 サイトをアルファベット順に並べ、HTTPS の採用状況により 3 つのカテゴリに分けています。

このリストに掲載されているウェブサイトの所有者です。HTTPS に移行するにあたって手助けが必要なのですが、Google でサポートしてもらえますか？

Google では、このリストに掲載されているサイトを対象に、HTTPS への移行について限定的なサポートを提供します。お持ちのメールアドレス security@[ドメイン名] で詳しい情報を確認していただくか、google.com で Google のセキュリティチームまでお問い合わせください。