JPDirectは株式会社日本レジストリサービス(JPRS)が提供するドメイン取得・SSL/TLSサーバー証明書発行サービスです。

JPDirect ドメイン名登録管理サービス
【画像で解説】混合コンテンツでブロックとなった時の確認と対策〜Chrome79から段階開始【Webサイト運営者向け】

【画像で解説】混合コンテンツでブロックとなった時の確認と対策〜Chrome79から段階開始【Webサイト運営者向け】

公開:2019/10/04
更新:2020/06/19

Google社は2019年12月リリースしたChrome79から段階的に混合コンテンツ(Mixed Content、ミックスコンテンツ)をブロックしていくと発表しています。混合コンテンツは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのサブリソース(画像、動画、スクリプトなど)が読み込まれている状態を指します。

混合コンテンツとは

現在のChromeでは混合コンテンツが表示されていますが、将来リリースされるChromeでは完全にブロックされてしまいます。このページでは、今からできる対策についてご案内します。

目次

Google社はChrome79から混合コンテンツを段階的にブロックすると発表

Google社は2019年10月3日にセキュリティブログで混合コンテンツを段階的にブロックすると発表しました。
(参考:GoogleSecurityBlog「No More Mixed Messages About HTTPS」)

このブログでは、「安全な通信を行うhttpsでも通信が暗号化されていないhttpからサブリソースが読み込まれている、混合コンテンツ(Mixed Content)の状態ではユーザーのプライバシーとセキュリティが脅かされる」と指摘しています。この混合コンテンツの状態だと、攻撃者は混合コンテンツの画像の改ざんやロード中に追跡Cookieの挿入ができるとしています。

今後リリースされるChromeで混合コンテンツを警告・ブロックする機能が徐々に実装されていく予定とのことです。Web運営者の方々はChromeでの実装前に混合コンテンツの状態を解消しておくことをおすすめします。

Chrome79(2019年12月リリース)

  • Chrome78など以前のバージョンではURLバー(アドレスバー)の横に混合コンテンツのブロックを解除できるアイコン(盾マーク)があった。Chrome79ではアイコン表示をなくし、Chromeの「サイト設定」画面に同機能を移設

Chrome80(2020年2月リリース)

  • 混合コンテンツの動画、音声を自動的にhttpsで接続し、読み込めない場合はブロック
  • 混合コンテンツの画像は引き続き表示されるが、URLバー(アドレスバー)に「保護されていない通信」と警告を表示

Chrome81(2020年4月リリース)

  • 混合コンテンツの画像も自動的にhttpsで接続し、読み込めない場合はブロック
  • Chrome81で混合コンテンツの画像も自動的にhttpsで接続することを予定していたが、少なくともChrome84まで延期することを発表[追記]

    Mixed image autoupgrading was originally scheduled for Chrome 81, but will be delayed until at least Chrome 84.

    No More Mixed Messages About HTTPS

混合コンテンツの確認方法と対策

確認方法

httpsのWebページにアクセスして、ChromeのURLバー(アドレスバー)をご確認ください。
以下の画像のような表示がされていれば混合コンテンツと判定されています。

混合コンテンツの表示

対策

Chromeデベロッパーツールで混合コンテンツ箇所が示されます。(※)
該当箇所のHTMLを修正すると混合コンテンツの状態は解消されます。

特に気をつけたいポイントは3つです。

  • 画像・動画を読み込むURL
  • CSSを読み込むURL
  • JavaScriptを読み込むURL

悪い例

<script src="http://jpdirect.jp/widgets/js/jquery.js">
(http://から始まるコンテンツを外部から呼び出すように絶対パスで指定している)

良い例

<script src="https://jpdirect.jp/widgets/js/jquery.js">
(https://から始まるコンテンツを外部から呼び出すように絶対パスで指定している)
<script src="//jpdirect.jp/widgets/js/jquery.js">(https:の省略)
<script src="/widgets/js/jquery.js">(サイトルートパスまたは相対パス)など

まとめ

Chrome79から混合コンテンツへの対策が一層強化されていきます。Web運営者は事前に混合コンテンツとなっていないか確認し、解消しておくことをおすすめします。

JPRSサーバー証明書について

「.jp」の登録管理を行うJPRS(株式会社日本レジストリサービス) が提供するSSL/TLSサーバー証明書です。
「.jp」は150万件以上の登録実績があり、JPRSは設立以来15年以上、JPDNSを無事故・無停止で運用しています。安心と信頼の品質をSSL/TLSサーバー証明書でも実現します。

他ブランドの証明書からJPRSサーバー証明書への切り替えの際にも残りの有効期限を最大12カ月間引き継げる「乗り換えオプション」をご用意しております。残りの有効期限が追加されるので切り替え時に無駄になってしまう日数はありません。

関連ページ

関連サイト

JPRS