Google社が開発しているウェブブラウザ『Chrome(クローム)』
サービスの安全性をより高めるため、2019年10月に「サイト内の混合コンテンツを段階的にブロックする」と発表。
(参照:GoogleSecurityBlogこちら)
発表がされたのは2019年の10月、そのブロックが実施されるのはなんと2020年2月!
実はもうすぐそこまで期限が来ているのです…!
「混合コンテンツ」とは?
「https://~」のように、URLの先頭には以下のどちらかが含まれます。
- https:暗号化された通信形式 ※「 s 」= secure(安全な)
- http:暗号化されていない通信形式
それぞれの違いは、暗号化がされているか否か。
httpsになっている場合は第三者のデータの悪用からサイトを守ることができます。
httpsに対応(SSL化)させる動きは2018年から進んでおり、今では一般的になりつつあります。
SSLについての記事はこちら★
しかしSSL化をしても一部のコンテンツ(画像、動画、スクリプトなど)が、httpのままの状態でサイト内に混ざっていることがあります。
それを混合コンテンツと呼びます。
ただ画像や動画が表示されなくなるだけでしょ?とお思いのそこのあなた
Google社の発表では、安全な通信を行うhttpsでも通信が暗号化されていないhttpからサブリソースが読み込まれている、混合コンテンツ(Mixed Content)の状態ではユーザーのプライバシーとセキュリティが脅かされるとされているのです。
混合コンテンツの状態だと、サイトを攻撃されてしまった場合、画像の改ざんやロード中に追跡Cookieの挿入ができるとしています。
(参照:GoogleSecurityBlogこちら)
そのため混合コンテンツにはセキュリティ的に大きなリスクがあるとされ、
今後リリース予定のChromeでは混合コンテンツのブロックや警告の機能が実装されていくとのこと。
| Chrome79 2019.12 |
|
|---|---|
| Chrome80 2020.2 |
(読み込めない場合、ブロックされて非表示になる) (ただし、アドレスバーの先頭に「保護されていない通信」と表示される) |
| Chrome81 2020.3 |
画像の混合コンテンツが、「https://」で自動的に読み込まれる (読み込めない場合、ブロックされて非表示になる) |
(参照:https://www.chromestatus.com/features/schedule)
※スケジュールは変更される場合もあります
日本におけるChromeのシェアは、Webブラウザの中でもトップクラスとされています。
androidなどのデフォルトもChromeが多いのではないでしょうか?
サイト内容を正しく伝えられなければ、その分多くのユーザー体験に影響を与えます。
せっかくwebサイトを訪問してくれたユーザーが、警告や表示がなされていない様子を見て離脱してしまったり、webサイトを検索した際の表示順位にも大いにかかわってくるため、直接的な影響が見られなくても間接的に集客や売り上げにとってマイナスであることは確かです。
もっとも影響の大きい画像のブロックは一番最後に行われます、が…その猶予も2月まで。
WEBサイトを所有する皆様の中で、心当たりのある方は混合コンテンツのブロックが実装される2月前に対策されることをお勧めします!
混合コンテンツがないか確認する方法
サイト内に混合コンテンツの有無を確認する場合、まずアドレスバーを見ましょう。
混合コンテンツではない場合は、左側の赤の丸部分に鍵のマークが表示されるようになっています。
SSL化がなされていないサイトや、混合コンテンツがある場合は鍵のマークが表示されません。
SSL化や混合コンテンツの問題解消も弊社では承っております。
SSL化についてはこちら
無料SSLが導入されていないサーバーや、プランをお使いの方や、
サイトを作ってからすでに2年以上経過しているという方は、この機会にサイト自体をリニューアルして最新のGoogle規格に合わせるのもおすすめです。
2月中のリニューアルのご相談もお気軽にどうぞ!
