この記事は Chrome セキュリティ チーム、Emily Stark、Carlos Joan Rafael Ibarra Lopez による Chromium Blog の記事 "No More Mixed Messages About HTTPS" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
本日は、Chrome で https:// ページが安全な https:// サブリソースのみを読み込むようにする対応が徐々に始まることをお知らせします。以下で説明する一連の手順により、デフォルトで混合コンテンツ(https:// ページに安全でない http:// サブリソースがあるコンテンツ)がブロックされるようになります。この変更が行われると、ウェブでのユーザーのプライバシーとセキュリティが改善され、ブラウザでわかりやすいセキュリティ UX を提供できるようになります。
HTTPS への移行において、ウェブはここ数年間で大きな進展を遂げています。現在、すべての主要なプラットフォームで、Chrome ユーザーのブラウズ時間の 90% 以上で HTTPS が使用されています。そのため、私たちは、ウェブ全体の HTTPS 設定が安全かつ最新のものになることに注意を向けつつあります。
HTTPS ページでは混合コンテンツと呼ばれる問題がよく発生します。これは、ページのサブリソースが安全ではない http:// で読み込まれることを指します。ブラウザはデフォルトで、スクリプトや iframe などのさまざまなタイプの混合コンテンツをブロックします。しかし、イメージ、オーディオ、動画は依然として読み込みが許可されており、それがユーザーのプライバシーとセキュリティを脅かしています。たとえば、攻撃者は株価の混合イメージを改ざんして投資家をだましたり、混合リソースを読み込む際にトラッキング用の Cookie を送り込んだりすることができます。混合コンテンツを読み込むと、ページが安全とも安全でないとも言えない中間状態となるので、ブラウザのセキュリティ UX にも混乱が起こります。
Chrome 79 から開始される一連の手順を通して、 デフォルトですべての混合コンテンツがブロックされるように徐々に移行されます。サイトの表示の問題を最低限にとどめるため、混合リソースを https:// に自動アップグレードします。これにより、サブリソースが https:// でも利用できるようになっている場合、サイトはそのまま動作します。ユーザーは、特定のウェブサイトで混合コンテンツのブロックをオプトアウトする設定を行える予定です。のちほど、混合コンテンツの検出と修正に役立つデベロッパー向けリソースを紹介します。
一度にすべての混合コンテンツをブロックするのではなく、一連の手順を通して段階的に変更をロールアウトします。
![]()
本日は、Chrome で https:// ページが安全な https:// サブリソースのみを読み込むようにする対応が徐々に始まることをお知らせします。以下で説明する一連の手順により、デフォルトで混合コンテンツ(https:// ページに安全でない http:// サブリソースがあるコンテンツ)がブロックされるようになります。この変更が行われると、ウェブでのユーザーのプライバシーとセキュリティが改善され、ブラウザでわかりやすいセキュリティ UX を提供できるようになります。
HTTPS への移行において、ウェブはここ数年間で大きな進展を遂げています。現在、すべての主要なプラットフォームで、Chrome ユーザーのブラウズ時間の 90% 以上で HTTPS が使用されています。そのため、私たちは、ウェブ全体の HTTPS 設定が安全かつ最新のものになることに注意を向けつつあります。
HTTPS ページでは混合コンテンツと呼ばれる問題がよく発生します。これは、ページのサブリソースが安全ではない http:// で読み込まれることを指します。ブラウザはデフォルトで、スクリプトや iframe などのさまざまなタイプの混合コンテンツをブロックします。しかし、イメージ、オーディオ、動画は依然として読み込みが許可されており、それがユーザーのプライバシーとセキュリティを脅かしています。たとえば、攻撃者は株価の混合イメージを改ざんして投資家をだましたり、混合リソースを読み込む際にトラッキング用の Cookie を送り込んだりすることができます。混合コンテンツを読み込むと、ページが安全とも安全でないとも言えない中間状態となるので、ブラウザのセキュリティ UX にも混乱が起こります。
Chrome 79 から開始される一連の手順を通して、 デフォルトですべての混合コンテンツがブロックされるように徐々に移行されます。サイトの表示の問題を最低限にとどめるため、混合リソースを https:// に自動アップグレードします。これにより、サブリソースが https:// でも利用できるようになっている場合、サイトはそのまま動作します。ユーザーは、特定のウェブサイトで混合コンテンツのブロックをオプトアウトする設定を行える予定です。のちほど、混合コンテンツの検出と修正に役立つデベロッパー向けリソースを紹介します。
タイムライン
一度にすべての混合コンテンツをブロックするのではなく、一連の手順を通して段階的に変更をロールアウトします。
- 2019 年 12 月に Stable チャンネルにリリースされる Chrome 79では、新しい設定を導入し、特定のサイトで混合コンテンツのブロックを解除できるようにする予定です。この設定は、スクリプトや iframe など、現在 Chrome がデフォルトでブロックしている混合コンテンツに適用されます。ユーザーは、https:// ページに表示される鍵アイコンをクリックし、さらに [Site Settings] をクリックすることで、この設定を切り替えることができます。このアイコンは、アドレスバーの右側に表示される盾アイコン(以前のバージョンの PC 向け Chrome で混合コンテンツのブロック解除に使うもの)に代わって表示されます。
- Chrome 80では、オーディオと動画の混合リソースが https:// に自動アップグレードされます。https:// での読み込みに失敗した場合、デフォルトでこれらのリソースはブロックされます。Chrome 80 は、2020 年 1 月に早期リリース チャンネルにリリースされる予定です。影響を受けるオーディオと動画のリソースは、上記の設定でブロック解除できます。
- また、Chrome 80では混合イメージの読み込みは許可されますが、その場合、アドレスバーに「Not Secure」チップが表示されます。これはユーザーにとって明確なセキュリティ UI になり、ウェブサイトでイメージを HTTPS に移行するきっかけにもなるはずです。デベロッパーは、コンテンツ セキュリティ ポリシー ディレクティブの upgrade-insecure-requestsまたは block-all-mixed-contentを使ってこの警告を避けることができます。次のような表示が行われる予定です。
- Chrome 81では、混合イメージが https:// に自動アップグレードされます。https:// での読み込みに失敗した場合、デフォルトでこれらのリソースはブロックされます。Chrome 81 は、2020 年 2 月に早期リリース チャンネルにリリースされる予定です。
デベロッパー向けリソース
デベロッパーの皆さんは、警告やサイトの表示の問題を避けるため、ただちに混合コンテンツを https:// に移行してください。次のようなリソースが利用できます。- サイトの混合コンテンツの検出と修正を行うには、コンテンツ セキュリティ ポリシーや Lighthouseの混合コンテンツ監査を利用します。
- サーバーを HTTPS に移行するにあたっての一般的なアドバイスは、こちらのガイドから参照できます。
- CDN やウェブホスト、コンテンツ管理システムをチェックし、混合コンテンツをデバッグできる特別なツールがあるかを確認します。たとえば Cloudflare は、混合コンテンツを https:// に書き換えるツールを提供しています。また、WordPress のプラグインも利用できます。