【翻訳】安全でない HTTP の廃止
この記事は、2015 年 4 月 30 日付で Mozilla Security Blog に投稿された Deprecating Non-Secure HTTP(筆者: Richard Barnes)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
今日お話しする内容は、安全ではない HTTP を段階的に廃止させていく私たちの意図についてです。
HTTPS は Web を前進させる手段としてかなり広く認知されています。ここ数か月の間に IETF や IAB(別の IAB も)、W3C、そしてアメリカ政府によって、インターネットアプリケーションにおける暗号化、つまり Web の世界では HTTPS を普遍的に求める声明が発表されました。
私たちのコミュニティのメーリングリストで熱い議論が交わされたのち、Mozilla は新しい開発努力を安全な Web のために集中させ、安全ではない Web で行える範囲を狭めていくことに決めました。この計画には大きく分けて 2 つの要素が含まれています。
- 新しい機能はすべて、安全な Web サイトからのみ利用可能となる日付の設定
- ブラウザの機能、特にユーザのセキュリティとプライバシーに影響を与える機能に対して、安全でない Web サイトからのアクセスを段階的に廃止していくこと
まず最初のステップとして、前者の日付と「新しい」機能の定義とについてコミュニティ内で同意を得る必要があります。例えば、「新しい」とは「ポリフィルできない機能」であるという 1 つの定義が考えられます。ページは自分自身に視覚効果を描画できるため(例: \<canvas> の使用)、安全でないサイトで今なお使われている CSS や他のレンダリング機能がこの定義に含まれます。しかし定性的には、新しいハードウェアへのアクセスといった新機能も制限されることになります。
この計画の 2 つ目の要素には、セキュリティと Web の可能性のトレードオフを踏まえて取り組む必要があります。安全ではない Web から機能を取り除いてしまうと、いくつかのサイトの動作に影響が出てしまうでしょう。そのため、影響がどのぐらい出ているかモニタリングし、影響とセキュリティにおける利益のバランスをとる必要があるでしょう。すでに私たちは、機能に対する安全でないサイトからのアクセス制限を緩やかにしようと考えています。Firefox の例では、カメラとマイクロフォンへの永続的なアクセス権限について、安全でない Web サイトから既に削除しています。また、secure 属性のない Cookie のスコープへ制限をかけることもいくつか提案されています。
この計画が進められた場合でも、レガシーなコンテンツで "http" URI スキームを利用できることは示しておくべきでしょう。HSTS や CSP の upgrade-insecure-requests ディレクティブを利用すれば、"http" スキームはブラウザによって自動的に "https" に変換されるため、安全に実行されます。
こういった努力の目標は、Web 開発者のコミュニティに向けて「コミュニティを安全にする必要があるんだ」と伝えることであり、今やろうとしていることが最も効果を発揮するには Web のコミュニティ全体が協力しなければなりません。もうすぐ私たちは、W3C WebAppSec Working Group にいくつか提案をする予定です。
この提案に関して、メーリングリストで議論に参加してくださった多くの方々に感謝を申し上げます。Web を安全にしましょう!
Richard Barnes, Firefox Security Lead
追記(2015-05-01): (訳注: 英語版のブログにおける)コメント欄に同じスレッドがいくつか立っているので、無料の証明書や自己署名証明書などにおける私たちの考えを FAQ document にまとめました。