Barry Schwartz氏やChris Ainsworth氏の報告によると、Google が5月初旬からウェブマスターツールを通じて一部のサイト運営者に SSL証明書エラーの警告を行っていた。しかしサイト運営者から寄せられたフィードバックを受けて、これらの警告通知が一時中止されることになった。
SSL証明書に関するエラー警告は2009年前後から行われていたが、今回は5月1日前後を境に一斉に数多くのサイト運営者に警告が送付されたことから、米国のフォーラムなどで話題に上がっていた。また、SSLを利用していないサイト運営者にも通知されたことで困惑しているユーザーもいた。
Google社員の John Muller氏によると、Google が通知したSSL証明書エラーそのものは間違いがなく、通知対象となったサイトには確かに証明書の設定不備が存在していた。つまり通知そのものは正当なものだった。
Thanks for your feedback, everyone - and I'm sorry for the confusion this has caused. We'll see what we can do to improve this going forward. As Webado mentioned (thanks!!), what has happened is that our crawlers have discovered URLs on your site that are being served with HTTPS by your server, but which are not using a correct certificate. This is a legitimate problem: if users were to use those URLs, then they would either see an error message in their browser, or have a false sense of security. That said, it looks like we might be a bit too optimistic in sending out these messages. For example, if nobody ever uses the HTTPS URLs, then fixing the certificate might not be a priority on your side. Cheers John [John Muller, Google, We have noticed that the host name of your site does not match any of the "Names" in your SSL....., Google Product Forums, May 1 2014]
問題は、その通知対象とする基準にあった。同氏によると、SSL は利用していないけれども https でアクセスした時にサーバが応答した場合、今回のエラーが通知されてしまったという。レンタルサーバを契約していると、共用SSLや独自(専用)SSLといったSSLサーバ証明書のサービスがオプションで用意されていることがあるが、SSL を利用していなければ設定することはない。しかしサーバそのものは https に応答してしまうことが少なくない為、それを Google は「SSLサーバ証明書の設定が適切ではない」と判断して警告を送ってしまったというわけだ。
Google がSSL証明書に不備があるサイトに向けて警告を送付する理由は、ユーザーがそうしたサイトにアクセスした時にブラウザ画面に警告メッセージが現れ、コンテンツの閲覧を妨げてしまうことが理由だ。優れた検索体験を提供することを支援したいという Google の立場からすれば、こうした通知を行うこと自体は理にかなったものだ。ただ今回は、その送付基準が適切ではなかった。
Hi everyone Thanks for all of your feedback on this! We decided to pause these messages when we saw that they were causing confusion, and we'll work on making them clearer & consider tweaking the criteria for them before restarting them. In general, while I agree that it may not currently be practical for all sites to serve their content properly on HTTPS, I think it still makes sense for the hoster to make a clear decision: either serve content via HTTPS properly, or not serve content there at all. Serving content via HTTPS without a valid TLS/SSL certificate will result in users seeing scary browser warnings, and avoiding that probably makes sense even if only a handful of users see them. At any rate, we'll be back, and we'll be watching out for your feedback in the meantime. Cheers John [John Muller, Google, We have noticed that the host name of your site does not match any of the "Names" in your SSL....., Google Product Forums, May 1 2014]
John Muller氏は今後、基準を改めて見直したうえで再開を検討するという。
cf.
