Chrome の重要な変更

2019年 10月 3日 に、シェアの多い Chrome ブラウザについて、重要な変更についてアナウンスがありました。

その情報は次のブログ記事です。

Google Security Blog
No More Mixed Messages About HTTPS
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

このブログは、かんたんに言うと「 2019年 12月 より、Chrome ブラウザでは「混合コンテンツ」をブロックするようになる という内容です。

12月 というタイムリミットは 「 Chrome バージョン 77 のリリース予定」であり、その新しいバージョンから仕様が変わってブロックされるものが出てくる、ということです。


このような仕様に変更される理由としては、 セキュリティを強化するため です。

サイバー攻撃のリスクはなかなか実感されにくいものですが、セキュリティを強化することで、安全ではないサイトや品質の低いサイトを一層し、 インターネットをより安全に楽しめ、開かれた場にする ために、このような措置がとられています。

ブロックされるとどうなるか

Chrome ブラウザが今までは読み込んでいた 画像などの外部データを読み込まなく なります。

具体的な影響としては

  • 画像が表示されない
  • レイアウトが崩れる
  • インタラクティブなコンテンツが動かなくなる

といったことが起こりえます。


直接的な影響は上記のとおりですが、それよりも ユーザが不審に感じて離れていってしまう といった二次的な影響に、より懸念があります。

たとえば、ご自身がインターネットを見ていて、ページを開いたときに、画像が出ていなかったり、変なウィンドウが出て動かなくなったらどう感じるでしょうか ?

よほど強い意志がない限り、そっとページを閉じると思います。

こういった影響があるため、ユーザ離れに直結しうることなのです。

混合コンテンツとは

それでは「混合コンテンツ」とは、いったいどういったものでしょうか ?

混合コンテンツ ( Mixed Content ) とは、「 ブログやホームーページで セキュリティの高いページに、セキュリティの低いコンテンツが含まれている 」という状態を指します。

より細かく言うと、 ブログやホームページは HTTPS に対応したのに、 HTTP の画像などが混ざっている ということです。


過去 2017 年に、「これからは HTTPS にしないと警告が表示されます」という仕様変更があり、記憶にある方もいらっしゃると思います。

このときは、ページ自体は HTTPS になっていれば問題ありませんでした。
しかしながら、2017 年のこの変更だけでは不十分なのです。

それは、ページ自体が HTTPS になっていて安全でも、ページの中に HTTP で安全ではないものが混在していれば、そこが穴になってセキュリティ強度が下がってしまうためです。

そのため、今回「どのページのどこを見ても HTTPS でセキュリティが高い状態」を実現するために、 Chrome ブラウザの仕様変更が施されるのです。

具体的な対策

対策としては 「 アドレスが HTTP になっているものを、すべて HTTPS に置き換える 」ことです。

ブログやホームページのなかで、 HTTP になっているアドレスを探して、地道に対策していくしかありません。


とはいっても、手持ちのブログ類を、1 ページずつチェックするのはかなり骨が折れますよね。

調べてみると、Windows, Mac 向けに「混合コンテンツ」をチェックすることができるツールがありました。

チェッカーのご紹介

HTTPS Checker
HTTPS Checker
HTTPS Checker
https://httpschecker.net/

上記、 Desktop HTTPS Checker よりソフトウェアをダウンロード後、インストールしてください。

アプリケーションを起動し、ユーザを登録すると次の画面が表示されます。

HTTPS Checker 実行設定画面
HTTPS Checker 実行設定画面

http(s):// に、チェックを行うサイトの トップページを入力します。

Mode は [Mixed Content Only] を選択します。

上記入力後、 Run ボタンをクリックすると、チェックが開始され、しばらく待つと次のような結果画面が表示されます。

HTTPS Checker 実行結果画面
HTTPS Checker 実行結果画面

ブログでも、放置せずに定期的にメンテナンスすることが大切ですね。

関連情報

Google Security Blog
No More Mixed Messages About HTTPS
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html