Googleは米国時間10月3日、HTTPSに完全に移行していないウェブサイトに対する「Google Chrome」の動作を2020年から厳格化していくと発表した。現在のところChromeは、一部のページリソースがHTTPであってもロードするようになっている。
HTTP経由とHTTPS経由のリソースがページ内に混在している「混在コンテンツ」は、ウェブサイトがHTTPSへの移行を開始した当初から問題となっている。
これまでに、GoogleやMozillaはそれぞれ独自の手段でHTTPSの利用を強く推進してきた。そうした取り組みは成果を上げており、ますます多くのウェブサイトのオーナーやオンラインサービスがHTTPSを利用するよう、少しずつ促してきた。
Googleのエンジニアはブログ記事の中で、「Chromeユーザーは現在、すべてのメジャーなプラットフォームでブラウジング時間の90%以上をHTTPS上で費やしている」と説明した。Googleは、ウェブでの混在コンテンツをなくす次の段階へと進めようとしている。サイトは、HTTPSのウェブサイトをメインドメインだけでなく、すべてHTTPSに移行することが必要とされるようになる。
Googleは今回の発表で、「『Chrome 79』から一連の段階を経て、Chromeは徐々に、デフォルトですべての混在コンテンツをブロックする方向に進んでいく」と述べている。
そして同社は、「問題を最小限に抑えるために、混在リソースの取得経路を自動的にhttps://へと置き換えることで、サブリソースが既にhttps://に対応している場合には従来通り動作し続けられるようにする」と続けている。
さらに同社は、特定のウェブサイトで混在コンテンツがブロックされないようにする設定を提供する計画だ。
- 2019年12月に「Stable」チャンネルにリリースするChrome 79で、特定サイト上の混在コンテンツに対するブロックを解除するための新たな設定を導入する。この設定は、Chromeが現在デフォルトでブロックしている、スクリプトやiframeなどの混在コンテンツに対して適用される。ユーザーはhttps://ページ上に表示される鍵アイコンをクリックした後、「Site Settings」(サイトの設定)をクリックすることで設定の有効化と無効化を切り換えられるようになる。これは、以前のデスクトップ版Chromeで、混在コンテンツのブロックを解除するために用意されていた、オムニボックス右端の盾アイコンを置き換えるものとなる。
- 「Chrome 80」では、音声や動画の混在リソースの取得経路を自動的にhttps://へと置き換え、https://経由でのロードができない場合にはブロックするというのがデフォルトの動作になる。Chrome 80は2020年1月に初期リリースチャンネルにリリースされる。ユーザーは、影響を受ける音声や動画のリソースのブロックを、上述した設定によって解除することができる。
- またChrome 80で、混在画像のロードは今まで通り可能だが、オムニボックスに「Not Secure」(安全ではない)というチップが表示される。これは、ユーザーに対してより明確なセキュリティUIを提供するとともに、ウェブサイトの管理者に対して画像をHTTPSに移行するよう動機付けるものになると考えている。なお開発者は、「Content Security Policy」ディレクティブの「upgrade-insecure-requests」や「block-all-mixed-content」を用いることで、この警告表示を避けられるようになる。
- 「Chrome 81」では、混在画像の取得経路を自動的にhttps://へと置き換え、https://経由でのロードができない場合にはブロックするというのがデフォルトの動作になる。Chrome 81は2020年2月に初期リリースチャンネルにリリースされる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。