HTTPS Everywhere拡張機能を非推奨化

電子フロンティア財団は、HTTPSの普及が進み、ウェブブラウザがHTTPS専用モードを導入し始めたことを受け、有名なブラウザ拡張機能「HTTPS Everywhere」を終了させる準備を進めていると発表しました。

https://www.eff.org/deeplinks/2021/09/https-actually-everywhere

EFFのエンジニアリング・ディレクターであるアレクシス・ハンコック氏は、

私たちが HTTPS Everywhere の提供を開始して以来、ウェブを暗号化する戦いは飛躍的に進歩しました。かつて は困難な技術的議論であったものが、現在ではほとんどのウェブページで提供される主流の標準となっています。

Let’s Encrypt のような組織の活動により、現在では HTTPS はほぼすべての場所で使用されています。

HTTPS が広く普及し、ユーザーがブラウザの拡張機能を必要としないようなアクセス可能な世界を実現するという、より大きな目標を達成することを意味していました。現在では、主流のブラウザが HTTPS 専用モードをネイティブにサポートしており、その世界はこれまで以上に近づいていると確信しています。

このような簡単な設定が可能になったことで、EFF は、SSL/TLS のような安全なプロトコルの新境地に向けて、HTTPS Everywhere ウェブ拡張機能を廃止する準備を進めています。今年の年末以降、この拡張機能は2022年に向けて「メンテナンス・モード」になります。

これは、さまざまなユーザーがこのツールをインストールしていることを知っており、パートナーやユーザーに移行に必要な時間を提供したいと考えているからです。この拡張機能が完全に終了する前に、HTTPS専用のネイティブブラウザの選択肢があることをユーザーに伝えていきます。

メンテナンスモードとは、拡張機能が来年にはマイナーなバグフィックスを受けるが、新機能やさらなる開発は行われないことを意味しています。

なお正式な終息日は決定されていませんが、その終息日以降は拡張機能の更新は一切行われない予定です。

2010年6月にリリースされたHTTPS Everywhereブラウザ拡張機能は、Web サイトに HTTPS の選択肢がある場合、Web 接続を HTTP から HTTPS に自動的に切り替えるというものでした。リリースされた当時は、ユーザが HTTP のリンクをクリックしたり、「https://」というプレフィックスを指定せずにブラウザにドメインを入力した場合に、サイトの接続を HTTPS にアップグレードしてくれた非常に成功した拡張機能と言われていました。

この拡張機能は「Tor Browser」に統合され、その後、プライバシーに配慮した多くのブラウザにも統合されました。

しかし、2010 年以降HTTPS はもはや少数派の技術ではなくなり、現在インターネットサイトの約86.6%がHTTPS 接続をサポートしています。

さらにChrome や Mozilla といったブラウザは、HTTPS トラフィックが通常日々の接続の 90~95% を占めていると報告しています。

2020年以降、主要なブラウザメーカーがHTTPS専用モードを発表しました。このモードではブラウザが自分で接続をHTTPからHTTPSにアップグレードしようとしたり、HTTPS接続が見つからない場合にユーザーにエラーメッセージを表示したりして、10年以上前からHTTPS Everywhereが行ってきたことを実行します。

現在、Mozilla Firefox、Google Chrome、Microsoft Edge、Apple Safariで、HTTPSオンリーモードが利用できます。それぞれのモードを有効にする方法については、以下を参照してください

Firefoxの場合

環境設定>プライバシーとセキュリティ>(一番下までスクロール)HTTPSオンリーモードを有効にする

Chromeの場合

設定」>「プライバシーとセキュリティ」>「セキュリティ」>一番下までスクロール>「常に安全な接続を使用する」を切り替える

Edgeの場合

edge://flags/#edge-automatic-httpsにアクセスし、「自動HTTPS」を有効にする

表示された「再起動」ボタンを押して、Microsoft Edgeを再起動します。

Safariの場合

何もする必要はありません。Safariは、デフォルトですべてのHTTP接続をHTTPSに自動アップグレードしようとします。2021年9月にリリースされたSafari 15で追加された機能です。

Mozillaは、2021年3月に発表した「HTTP-Only Mode」の展開を分析したレポートの中で、FirefoxがHTTPトラフィックをHTTPSにアップグレードしたのは、ユーザーがアクセスしようとしたウェブページの3.5%に過ぎないと述べています。

https://blog.mozilla.org/attack-and-defense/2021/03/10/insights-into-https-only-mode/

Leave a Reply

Your email address will not be published.