SSL化は必須!混在コンテンツはブロックされて非表示に?!2019年Googleセキュリティ最新情報

サイトのSSL化はもう済んでいますか?

2019年10月3日にGoogleは公式Security Blogで、ユーザーの安全を守るために「サイト自体がSSL化されていても、コンテンツ内にSSL化されていないパーツが混在してる場合、サイトそのものをブロックして非表示にする」と述べています。

これは、自分のサイトはSSL化(https~で始まるURL)済みでも、サイト内に設置してあるアクセス解析や決済システムなどがSSL化に対応していない場合「混在コンテンツ」と判断されて非表示にするという事です。

この記事では、Googleのセキュリティ最新情報をもとに、混在コンテンツの確認方法やどうアクションすれば良いのか等、具体的に説明していきます。


[スポンサー]2STEPインスタントアフィリエイト

まず初月で10万円を確実に稼ぎ、その後1年以内に月100万円を稼ぎたい人向けに2ステップインスタントアフィリエイトという新しい手法が無料公開されました。

ノウハウは王道スタイル。アフィリエイトを勉強したい方に強くオススメ出来る内容です。

堅実に収入を得たいという方はこのやり方がオススメ。
■無料:2ステップインスタントアフィリエイト

混在コンテンツとは?

10月3日のGoogleのSecurity Blogでの公式発表での内容を要約すると、サイト内に安全ではない通信「http」のコンテンツが含まれる場合、そのサイト自体を表示できないようにブロックするという内容になります。

Googleセキュリティブログ

Googleの原文を読んでも表現が難しくて、ちょっと分かりにくいですよね?分かりやすく説明すると、「自分サイトで表示されるもの全てがSSL化していないと非表示にするよ」という事です。分かりやすく図解してみました。↓↓↓

混在コンテンツ

サイトそのものがhttps~になっているのにどういう事?と思うかもしれませんが、サイト以外からの埋め込みコンテンツがある場合、埋め込む前の元サイトもSSL化されていなければ混在コンテンツになってしまうという事なんです。

例えば・・・

  • アクセス解析
  • 動画コンテンツ
  • 決済システム
  • 画像

などですね。

つまり、埋め込み元のサイトがSSL化されていなければ、簡単に悪意を持った第三者の手によって画像内容やシステムを変更できてしまう可能性があります。

万が一、あなたのサイトに埋め込まれて表示しているシステムや画像が、すでに悪意を持った第三者によって書き換えられたものだとしたら?こう考えると確かに恐ろしいですよね。

Googleが危惧している部分はここなのです。サイトそのものはSSL化して安全な状態であっても、SSL化されていないものを引用して埋め込んでいたりすれば危険要素を含んだ状態になってしまう。だから「混在コンテンツは検索ユーザーの目に触れないようにブロックするよ」という事なのです。

もちろん、すべての問題あるサイトを一気に非表示にしてしまうと大混乱になる可能性があるので、2020年の1~2月にリリースされるGoogleクローム81というバージョンから、混在コンテンツは完全に表示されなくなるように、徐々に準備を進めるとGoogleは発表しています。

httpはなぜ危険?httpsとの違いは?

httpはなぜ危険なのか?httpとhttpsは何が違うのかを簡単に説明しておきましょう。

httpとhttpsの違いを簡単に一言でいうなら「httpは通信内容が暗号化されていない、httpsは暗号化されている」という違いです。

httpsに対応しているサーバでは、表示されるサイトやブログ上のデータを全て暗号化された状態で通信しています。通信内容が暗号化されているので、第三者に盗み見られることはなく、安全に情報をやり取りすることができます。

httpsに対応したサイトの場合はGoogle Chromeで見たときにブラウザのURLの左の方に鍵のマークが表示されます。この鍵のアイコンをクリックすると「保護されている」旨が表示されます。

これに対して暗号化されていないHTTPでの通信が危険な理由はhttp通信を脅かす「中間者攻撃(Man in the middle attack)」が簡単に行われてしまうという事。

中間者攻撃とは「web上に表示されているサイト」と「閲覧している読者のPC」の通信経路に不正な手段で割り込んで、通信内容を盗聴したり改ざんを行ったりする攻撃です。

これはhttpサイトに限らず、暗号化されていない無線LANなどもセキュリティ対策が施されていないと簡単に攻撃が可能となりクレジットカードの入力などが盗まれる可能性があるという事です。

つまり、せっかくサイトをhttpsで表示してセキュリティを強化していても、その中に表示するコンテンツに外部のHTTPのコンテンツを埋め込んだり、引用してしまうと、その箇所にセキュリティーホールが出来てしまうんですね。

混在コンテンツを見つけ出して、修正する具体的な方法

Google Chromeのデベロッパーツール内にあるSecurityパネルを使えば、httpsの状態を無料で確認することが出来ます。もしSSL化されていないコンテンツがあれば、すぐに見つけることが出来ます。

英語で表記されていますが、見方は簡単ですので実例と共に紹介しますね。ぜひ、自分のブログのセキュリティチェックを行ってみてください。

Google Chromeのデベロッパーツールの使い方

1)Googleクローム画面の一番右上の「・」が縦に3つ並んでいるアイコンをクリックします。

2)次に、「その他のツール」⇒「デベロッパーツール」へと進み、デベロッパーツールをクリックします。

Googleクローム

3)デベロッパーツールの中からSecurityタブへ進み、Securiyをクリックします。

セキュリティタブ

SSL化が正しくできているかを確認する

サイト内のすべてのコンテンツがSSL化されていれば「This page is secure(vailid HTTPS)」と表示されます。

この場合は、何もする必要はありません。

SSL化の確認

SSL化されていない「http」サイトの場合、「This page is not seure」と表示されます。まずは、サイトのSSL化を行いましょう。

SSL化されていないサイト

そして、今回のテーマでもある「混在コンテンツ」の場合は赤文字で「Resources-mixed content」と表示されます。

「This page includes HTTP risouraces」つまり、「HTTPのコンテンツが含まれていますよ」という警告が出ていますね。

ず、混在コンテンツ

左側に「Non-sevure origins」として、SSL化されていないコンテンツを含むページがリストアップされるので、このページを見直してhttpsに対応していないコンテンツを削除する、もしくは他のhttpsに対応したものと差し替えるなどのメンテナンスを行えば大丈夫です。

メンテナンスを行ったら、もう一度デベロッパーツールで確認しておきましょう。

This page is secure(vailid HTTPS)と表示されていれば、訂正は完了です。

まとめ

昨年までは、常時SSL化が話題になっていましたが、この1年で常時SSL化はすでに「大前提」という位置づけにフェーズは進化しています。

Googleが常に考えているのは「検索ユーザー」にとっての安全性であり使いやすさです。

私たちが提供するブログも、訪問してくれる読者にとって安全・安心は大前提のうえで、コンテンツを楽しんでもらえるように、自分たちの意識も常にアップデートし、自信をもって収益化していきたいですね。

2STEPインスタントアフィリエイト

初月で10万円を確実に稼ぎ、その後1年以内に月100万円を稼ぎたい人向けに2ステップインスタントアフィリエイトという新しい手法を無料公開中。

アフィリエイト

ノウハウは王道に近いので、アフィリエイトを勉強したい方に強くオススメ出来る内容となっています。堅実に収入を得たいという方はこのやり方を実践してみてください。

WordpressやるならXサーバーがオススメ!

当サイトはWordpressで運用しています。いくつかサーバーを利用してみた結果Xサーバーにたどり着き、すでに5年以上使い続けています。 スピード、セキュリティ、サポート…どれも最高レベルにも関わらず低コストなところがオススメです。

2 件のコメント

  • 10月19日に、ドメインをSSL化しました所、
    毎日、アクセスが100ほどあったサイトが
    一桁になりました。

    ■SSL化に伴い行った処置
    ・プラグイン:Really Simple SSLを使用
    ・プラグイン:Search Regexを使用
    ・一般設定の中の「WordPress アドレス (URL)」と「サイトアドレス (URL)」を「https://」に変更
    ・鍵マークが表示される

    ■アクセス減少に伴い行った処置

    ・googleアナリティクスのプロパティ設定とビュー設定のアドレス部分を「https:」に変更
    ・googleサーチコンソールに新規登録
    ・サイトマップの送信

    ここまでの処置を20日に行いました。

    本日、アクセス状況を再確認しましたが、
    まだアクセスの回復はしておりません。

    googleから、メッセージが
    届いていたので確認しました所
    下記のメッセージが届いてました。

    ===============================

    弊社では、貴サイトの「カバレッジ」に関する問題の修正について検証を開始いたしました。具体的には、1 ページに現在影響を及ぼしている「送信された URL はソフト 404 エラーのようです」について確認しております。

    検証には数日かかることがございます。処理が完了し次第お知らせいたします。以下のリンクにアクセスして、テストの進捗状況をご確認いただくこともできます。

    ⇒検証フローの進捗状況を確認する

    ===============================

    検証フローの進捗状況を確認すると、

    送信された URL はソフト 404 エラーのようです

    という表示がでました。

    原因がよく分からなかったので、
    googleサーチコンソールの、
    URL検査を対象のドメインでやってみた所、

    「URL が Google に登録されていません」

    「重複しています。送信されたURLが正規URLとして選択されていません。」

    と表示されました。

    また、いくつかの記事のURLで試した所、
    すべて重複していると表示されてしまいました。

    現状を整理すると、
    httpのドメインがまだ、残っている状態に
    なってしまっているのかと思いますが、
    こういった場合に効果があるかもしれない処置などが
    お分かりでしたら、対策を教えて頂けると非常に助かります。

    記事にして頂いても問題ありません。

    • 返信遅くなりました。

      おそらく伺った状況ですと、転送設定が出来ていないのではないかと思われます。

      今回のSSL化されたサイトと以前のSSL化されていないhttp://で始まるサイトが両方存在している状態です。

      SSL化後は、http://で始まるサイトからSSL化したサイトへ転送設定を行って1本化して行くのですが、設定方法はサーバー会社によって異なりますので、ここで一概には言えません。

      まずは契約されているサーバー会社に連絡して、状況を伝え対処方法のアドバイスをもらうことをおすすめします。

  • コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    *

    日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

    ABOUTこの記事をかいた人

    19歳の頃に起業を目指す。上場企業を含む営業会社を3社経験、その後マーケティング会社の取締役を経験する。Webマーケティングの中でもDRMやインバウンドマーケティング、プロダクトローンチに精通し、ローンチ経験は14回、累計の売上高は10億円を大きく越え、現在はそれぞれの手法をMIXして売上を伸ばすことを得意としている。コピーライティングとマーケティングが専門分野。2015年6月株式会社ウェブエンジンを創業。