Google は、2026 年 10 月にリリース予定の Chrome 154 から「常に安全な接続を使用する」をすべてのユーザーでデフォルト有効化する計画を正式に発表しました。
これにより、暗号化されていない HTTP サイトに初めてアクセスする際、Chrome が警告を表示するようになります。
2026 年 10 月に Chrome 154 で適用、まずは保護強化機能の利用者から
この変更は段階的に展開され、まず 2026 年 4 月リリース予定の Chrome 147 で「保護強化機能」を有効にしているユーザーを対象に開始されます。その後、Chrome 154(2026 年 10 月)で全ユーザーに適用される予定です。
設定項目は「chrome://settings/security」にある「常に安全な接続を使用」で、2022 年以降オプションとして提供されていましたが、今後は標準で有効になります。
公開サイトへの HTTP 通信で警告、ローカルサイトは対象外
新しい挙動では、Chrome はすべての通信をまず HTTPS で試み、HTTPS に対応していない公開サイトにアクセスしようとすると、警告ダイアログを表示します。一方で、ルーター設定ページ(例:192.168.0.1)や社内イントラネットなど、ローカルネットワーク上のプライベートサイトについては警告対象外となります。
Google は、ローカルサイトでは攻撃者が同一ネットワーク上にいなければ悪用が困難なため、リスクは相対的に低いと説明しています。
また、Chrome では「ローカルネットワークアクセス許可(Local Network Access permission)」を導入しており、今後は HTTPS ページから安全にローカルデバイスへアクセスできるよう改善が進められています。
なぜ今「HTTPS デフォルト」なのか
Chrome セキュリティチームによると、HTTP 通信では攻撃者が通信経路を乗っ取り、任意のコンテンツを挿入したり、マルウェア配信やフィッシングを行うリスクがあります。こうした攻撃は実際に確認されており、HTTP の脆弱性を放置することはもはや許容できないとしています。
Google の HTTPS トランスペアレンシーレポートによると、2015 年時点で 30 〜 45% にとどまっていた HTTPS の利用率は、2020 年には 95 〜 99 % に達しました。ただし、その後はほぼ横ばいとなっており、残る数%の非対応サイトが依然としてリスク要因になっていると指摘しています。
警告頻度を抑え、現実的なバランスへ
Google は「警告の出しすぎ」によるユーザーへの影響を懸念しており、頻繁に訪問する HTTP サイトについては繰り返し警告を出さない仕組みを採用します。初めて、またはしばらくアクセスしていない不明なサイトに限定して警告を表示するため、過度な煩わしさを避ける設計です。
実際、Chrome 141 で実施された実験では、HTTP サイトへの警告表示はユーザーの 95 パーセンタイルでも週あたり 3 回未満にとどまったとしています。
開発者や管理者は早めの対応を推奨
Google はウェブ開発者や企業の IT 管理者に対し、「常に安全な接続を使用する」を事前に有効化してテストを行い、HTTPS 未対応のページやリソースを特定・修正するよう強く推奨しています。
Chrome 管理ポリシーを利用する組織向けにも、今後の影響を抑えるためのドキュメントが提供されています。
将来的にはローカルサイトも HTTPS 化を促進へ
Google は今後、ローカルネットワークサイトでも HTTPS 導入を容易にする仕組みの整備を進める予定であり、将来的にはより厳格な HTTP 防御へと発展する可能性があります。
Chrome 154 のリリースはまだ約 1 年後ですが、Web 全体のセキュリティ基盤がさらに強化されることになるため、HTTP の利用を続けているサイト運営者は、今のうちから HTTPS 対応を完了しておくことが推奨されます。
また、Chromebook でも Chrome ブラウザが標準搭載されているため、同様にこの変更が適用される見込みです。
