混合コンテンツは非表示リスクあり!
-Chromeで警告表示!? 対応は2020年中に-

貴社のWEBサイトは、「正常」なHTTPS化ができているでしょうか?
昨今、インターネットにおけるセキュリティ問題はニュースで取り上げられることもあり、
多くの人が意識されていることと思います。
企業のHPでもセキュリティ対応として大前提の「常時SSL=https化」対応されているサイトが大半かと思いますが、実は、2020年中に常時SSL対応済みのサイトでもコンテンツ表示に不具合が発生する可能性があり、それが「混合コンテンツ」の環境下により発生すると言われています。

「常時SSL化したから、もう大丈夫。」
そう思っている方も、ぜひ一度サイトの状態を
ご確認ください。

こんな方におすすめです

  • ・SSL化しているのにブラウザのURL欄にエラーが表示される
  • ・ページ内に表示されない画像、動画などのコンテンツが混在している
  • ・そもそもSSL化もしていない

そもそも、大前提として「混合コンテンツ」は【HTTPS】サイト内で発生します。

そのため現時点でSSL化未対応のサイトは対象外となる作業ですが、SSL化未対応の状態は「混合コンテンツ」が含まれているサイトより火急の対応が推奨されます。
SSL化未対応で先延ばしにされている方は、こちらから内容をご確認ください。

資料ダウンロードはこちら

「混合コンテンツ」とは?

「混合コンテンツ(Mixed Content)」とは、通信が暗号化されているHTTPSサイト内に混在して存在する「通信が暗号化されていないHTTPコンテンツ」が存在する状態をさします。
セキュリティで保護されているサイト内に、保護されていない(HTTP)情報が混在しているために起こるエラーを指し、主に、画像、動画、サイトに設定されたスタイルやスクリプトなどが対象となります。
セキュリティ保護されたものと、セキュリティ保護されていないもの、これらが混在することで意図せずサイトの脆弱性を発生させてしまいます。

未対策だとどうなるのか

混合コンテンツがブロックされると、そのエラーページで提供されている情報(画像、動画、スタイル、スクリプトなど)を認識できなくなります。

また、このような状態を放置すると、セキュリティ保護されていないhttp要素を経由して、第三者によって情報改ざんやサイトアタックをされる可能性があります。

新規でサイトを制作した場合は、最新の仕様に対応しているため問題ありませんが、過去にHTTPサイトから常時SSL化へ移行したサイトは一度チェックしておく方が安心でしょう。
すべてのページがHTTPS化されても、そのページ内のコンテンツ(画像や動画など)は自動的にHTTPSへ変更されないためです。

「混合コンテンツ」により、サイト内で非表示の可能性あり

Googleでは、より安全性を高め快適なインターネット環境の構築のために今後さらにセキュリティ規制を強化すると公式アナウンスしています。

画像出典:Google Security Blog「No More Mixed Messages About HTTPS」
セキュリティ強化を目的とし段階的に表示規制が実施され、2020年後半にリリース予定のChrome 85のバージョンでは混合コンテンツは一切「非表示」となります。<上記URL更新情報(2020.4.6)を参照>

確認は2020年中に

このことにより、常時SSL化対応済みのサイトでもセキュリティ対策が不十分な可能性も発生しますので、正常にHTTPS化出来ているか、2020年中に確認されることをおすすめします。
また、安全でない接続先(HTTP)からコンテンツをダウンロードする場合も、同様に警告が表示されます。
資料ダウンロードなどで利用されるPDFやWord、Excelなどもリンク先がHTTPの場合はブロックされるようになります。

画像出典:Google Security Blog「Protecting users from insecure downloads in Google Chrome」

Googleから公表されている警告表示・ブロック化のスケジュールによると、現在、Chromeの最新バージョンはChrome85ですが、2020年内を目途にChrome86ではすべてのコンテンツがブロックされます。
(新型コロナウイルスの影響でブラウザのリリース日が変更されているため、混合コンテンツの対応スケジュールも変更になる可能性があります。)

Webブラウザの中でもトップクラスのシェアを占めるChromeの対応により、今後は他のブラウザも追従することが予測されます。
既にGoogleのアップデートは着々と進められているため、対応を放置することで検索順位の降下やサイトの脆弱性がサイト訪問者に露呈するなど、様々な不具合が発生することが想定されます。

混合コンテンツの確認方法・修正方法

1. Chromeを起動し、確認したいサイトを表示する

上記のように、URL欄の表示に鍵マークが正しく表示されていない場合は、何らかの問題が発生しています。

参考画像:正常なサイト表示

2. F12キーを押してデベロッパーツールを起動する。

デベロッパーツールから混合コンテンツがあるかを探す。
「Mixed Content」と、混合コンテンツが存在するエラーが表示される場合は、そのソースコードを「http://」から「https://」へ修正が必要です。

流れとしてはとてもシンプルですが、ボリュームのあるサイトや多数のサイトを管理している場合は、ページ毎にチェックする必要があるため、Chromeのアップデートから取り残されないよう、余裕を持った対応をしていきましょう。

おわりに

2020年は新型コロナウイルスの影響により、これまで当然と思われていた社会環境が大きく変化する転換期を迎えています。
インターネット環境においても、今回のような外部要因からの特需により、既存の価値観や認識を覆す動きが出始め、パラダイムシフトといえる大きな潮流が生じています。

そのような中でのChromeという主要ブラウザの対応は、他のブラウザでも同様に排除の動きへと加速していくと同時に、今後は個人情報保護の規制など様々な規制が強化されていくでしょう。

面倒な事ですが、気づいたときに、その都度メンテナンスすることが最良の施策となります。
後回しにするほど、問題は山積しますので、早め早めの対応をおすすめします。



混合コンテンツへのご不明点や、弊社は大丈夫?などのご相談・ご質問は
写真化学へご相談ください

お問い合わせはこちら