ホームページの常時SSL化をしないと今後どうなるのか?
※ 本記事は広告を利用しています
ホームページの常時SSL化はお済みでしょうか?
弊社クライアントの中でも、一部、常時SSL化が終わっていないクライアントもいるということで、当記事を書きます。
目次
混在コンテンツはブロックする
GoogleのSecurity Blogで、下記のような投稿がございました。
No More Mixed Messages About HTTPS
簡単に言うと、HTTPとHTTPSの混在コンテンツはブロックするという内容です。
昨年までは、常時SSLをしていいないWEBサイトに、警告を出すということが大きな話題でした。
・・・が
更に時代は進み、常時SSLというのは前提条件にあり、その上で混在コンテンツをどうしていくかというフェーズに突入しました。
つまり、「HTTPS」になっているのは大前提として、「HTTPS」ページの中で、エラーが出ているページをどのような扱いにするのか?という事が書かれた記事でした。
混在コンテンツとは
混在コンテンツ(mixed contents)などと言われています。つまり、コンテンツがミックスしてる状態のことを言います。
何が混在しているのかと言いますと、「HTTPS」の中に「HTTP」での接続が混在しているということになります。
更に詳しく説明すると、
HTML が安全な HTTPS 接続で読み込まれた後、その他のリソース(画像、動画、スタイルシート、スクリプトなど)が安全な接続ではないHTTP 接続で読み込まれると、混合コンテンツが発生します。
これが混合コンテンツと呼ばれるのは、同じページを表示するために HTTP と HTTPS 両方のコンテンツが読み込まれているためで、最初のリクエストは HTTPS で保護されています。
最新のブラウザでは、この種のコンテンツに関する警告が表示され、このページに安全でないリソースが含まれていることがユーザーに示されます。
サイトを常時SSL化(サイトのすべてのページをHTTPS化)にしたのにURLに鍵マークが出ずに、下記のように「保護されていない通信」という表示が出てしまうという経験したことがある人もいるのではないでしょうか。
これは、リソースの中にHTTPの物(画像、動画など)が混じっていて、完全にHTTPSでの通信ができていない場合に出てきます。こういった現象が起きた場合のことを混在コンテンツと言います。
Googleがコンテンツをブロックするようになります。
今後、Googleは、HTTPとHTTPSの混在コンテンツがあるページでの混在コンテンツをブロックするようにするようです。
Googleは、HTTPSへの推奨を進めた結果、Google Chromeを使用しているユーザーのほとんど(すべてのメジャーなプラットフォームにおいて閲覧時間の90%)がHTTPSになったようです。
そして、ここから更に混在コンテンツ対策を厳しくし完全なHTTPSサイトを作っていこうとしています。
2020年1月のChrome80、2020年2月でリリース予定のChrome81からは、デフォルトでブロックされるようになり明確なセキュリティUXを実現するようになるということで、この2020年に向けて混在コンテンツ問題は大きく動きそうですね。
まとめ
昨年までは、常時SSLをした方がよい!というところが話題になりましたが、そのフェーズは終わり、常時SSL化をした上で、混合コンテンツがないかをチェックしなければなりません。
WEBサイト運用者にとっては、日々のアップデートは大変ですが、全てはユーザビリティの向上と考えて、アップデートしていきましょう。
Googleは日々、ユーザビリティの向上を目的としていますので、「コーポレート」「サービス」「ポータル」など、どのサイトを運営していても、上記のようなことを考えていかなければなりませんね。
