HTTPSで配信するページの『混合コンテンツ』をGoogle Chromeがデフォルトでブロックするように、段階を経て仕様変更されることが発表されました。

2019年12月に安定板をリリースする予定の「Google Chrome 79」から導入されます。

混合コンテンツとは？

混合コンテンツ（Mix Contents）とは、閲覧が安全とされているHTTPS接続にもかかわらず、そのHTTPSページに含まれる他のリソースが、安全ではないHTTPサブリソースと混在している状態のことを指します。

Chromeの場合、画像、オーディオや動画がHTTP接続で読み込まれたものであっても許可されていました。その一方で、Java Scriptとiframeが混在する場合は読み込まれないようになっていました。

Webページの互換性を維持するための措置として許可されていたものの、この状況は「安全である」とは言い難いものでした。

Chromeのバージョン変更とサブリソースの段階的なブロック

今後リリースされるChromeでは、バージョン79を起点に、混合コンテンツのデフォルトブロックが段階的に行われます。

Chrome 79

まずは混合コンテンツのブロックをサイト単位で解除するための新しいオプションが導入されます。
ユーザーが自らの意思で「許可」すれば、ブロックされたサブリソースの読み込みが可能になります。これは、iframeなどのブロックされるすべてのリソースが対象です。

Chrome 80

オーディオや動画などのHTTPリソースを自動でHTTPS接続へとアップグレードするように変更されます。
HTTP接続で読み込むように指定されているリソースであっても、HTTPS接続で利用できるものは表示されるようになります。HTTPS接続で読み込まれないものの場合、コンテンツはブロックされてしまい、ユーザーが解除しない限りはコンテンツが表示されません。

画像に関してはHTTP接続のものが混ざっていても、ブロックされずそのまま読み込まれます。しかし、「保護されていない通信」として読み込まれることになります。

Chrome 80は2020年1月に開発版をリリース予定です。

Chrome 81

HTTPで読み込まれる画像リソースはHTTPS接続へと自動的に切り替わるようになります。この時、HTTPS接続での読み込みに失敗してしまう場合、コンテンツがブロックされてしまいます。

Chrome 81は開発版を2020年2月にリリース予定です。

混合コンテンツの対策は？

混合コンテンツの対策方法は、ただひとつ。
HTTPSページで、HTTP接続で読み込むようになっている混合コンテンツを修正することです。これ以外の方法はありません。

風俗店のウェブサイトの場合、たとえばウェブサイト自体はHTTPS接続なのに、在籍している女の子の画像がHTTP接続のままになってしまっていて画像がブロックされてしまう。

もしくはプレイ動画がHTTP接続のままで動画コンテンツが表示されなくなってしまうなどの状況が考えられます。

今後のGoogle Chrome仕様変更によって、このような事態になってから対処しなくて済むよう、今から対応しておく方が良いでしょう。

Googleの公式アナウンスでは、混合コンテンツを解消するためのツールを紹介しています。

• SSL Insecure Content Fixer
• Cloudflare

こういったツールを使用して、混合コンテンツを配信しているページの対処を行いましょう。