SSL化は必須！混在コンテンツはブロックされて非表示に？！2019年Googleセキュリティ最新情報

サイトのSSL化はもう済んでいますか？

2019年10月3日にGoogleは公式Security Blogで、ユーザーの安全を守るために「サイト自体がSSL化されていても、コンテンツ内にSSL化されていないパーツが混在してる場合、サイトそのものをブロックして非表示にする」と述べています。

これは、自分のサイトはSSL化（https～で始まるURL）済みでも、サイト内に設置してあるアクセス解析や決済システムなどがSSL化に対応していない場合「混在コンテンツ」と判断されて非表示にするという事です。

この記事では、Googleのセキュリティ最新情報をもとに、混在コンテンツの確認方法やどうアクションすれば良いのか等、具体的に説明していきます。

混在コンテンツとは？

10月3日のGoogleのSecurity Blogでの公式発表での内容を要約すると、サイト内に安全ではない通信「http」のコンテンツが含まれる場合、そのサイト自体を表示できないようにブロックするという内容になります。

Googleの原文を読んでも表現が難しくて、ちょっと分かりにくいですよね？分かりやすく説明すると、「自分サイトで表示されるもの全てがSSL化していないと非表示にするよ」という事です。分かりやすく図解してみました。↓↓↓

サイトそのものがhttps～になっているのにどういう事？と思うかもしれませんが、サイト以外からの埋め込みコンテンツがある場合、埋め込む前の元サイトもSSL化されていなければ混在コンテンツになってしまうという事なんです。

例えば・・・

• アクセス解析
• 動画コンテンツ
• 決済システム
• 画像

などですね。

つまり、埋め込み元のサイトがSSL化されていなければ、簡単に悪意を持った第三者の手によって画像内容やシステムを変更できてしまう可能性があります。

万が一、あなたのサイトに埋め込まれて表示しているシステムや画像が、すでに悪意を持った第三者によって書き換えられたものだとしたら？こう考えると確かに恐ろしいですよね。

Googleが危惧している部分はここなのです。サイトそのものはSSL化して安全な状態であっても、SSL化されていないものを引用して埋め込んでいたりすれば危険要素を含んだ状態になってしまう。だから「混在コンテンツは検索ユーザーの目に触れないようにブロックするよ」という事なのです。

もちろん、すべての問題あるサイトを一気に非表示にしてしまうと大混乱になる可能性があるので、2020年の1～2月にリリースされるGoogleクローム81というバージョンから、混在コンテンツは完全に表示されなくなるように、徐々に準備を進めるとGoogleは発表しています。

httpはなぜ危険？httpsとの違いは？

httpはなぜ危険なのか？httpとhttpsは何が違うのかを簡単に説明しておきましょう。

httpとhttpsの違いを簡単に一言でいうなら「httpは通信内容が暗号化されていない、httpsは暗号化されている」という違いです。

httpsに対応しているサーバでは、表示されるサイトやブログ上のデータを全て暗号化された状態で通信しています。通信内容が暗号化されているので、第三者に盗み見られることはなく、安全に情報をやり取りすることができます。

httpsに対応したサイトの場合はGoogle Chromeで見たときにブラウザのURLの左の方に鍵のマークが表示されます。この鍵のアイコンをクリックすると「保護されている」旨が表示されます。

これに対して暗号化されていないHTTPでの通信が危険な理由はhttp通信を脅かす「中間者攻撃（Man in the middle attack）」が簡単に行われてしまうという事。

中間者攻撃とは「web上に表示されているサイト」と「閲覧している読者のPC」の通信経路に不正な手段で割り込んで、通信内容を盗聴したり改ざんを行ったりする攻撃です。

これはhttpサイトに限らず、暗号化されていない無線LANなどもセキュリティ対策が施されていないと簡単に攻撃が可能となりクレジットカードの入力などが盗まれる可能性があるという事です。

つまり、せっかくサイトをhttpsで表示してセキュリティを強化していても、その中に表示するコンテンツに外部のHTTPのコンテンツを埋め込んだり、引用してしまうと、その箇所にセキュリティーホールが出来てしまうんですね。

混在コンテンツを見つけ出して、修正する具体的な方法

Google Chromeのデベロッパーツール内にあるSecurityパネルを使えば、httpsの状態を無料で確認することが出来ます。もしSSL化されていないコンテンツがあれば、すぐに見つけることが出来ます。

英語で表記されていますが、見方は簡単ですので実例と共に紹介しますね。ぜひ、自分のブログのセキュリティチェックを行ってみてください。

Google Chromeのデベロッパーツールの使い方

１）Googleクローム画面の一番右上の「・」が縦に3つ並んでいるアイコンをクリックします。

２）次に、「その他のツール」⇒「デベロッパーツール」へと進み、デベロッパーツールをクリックします。

３)デベロッパーツールの中からSecurityタブへ進み、Securiyをクリックします。

SSL化が正しくできているかを確認する

サイト内のすべてのコンテンツがSSL化されていれば「This page is secure(vailid HTTPS)」と表示されます。

この場合は、何もする必要はありません。

SSL化されていない「http」サイトの場合、「This page is not seure」と表示されます。まずは、サイトのSSL化を行いましょう。

そして、今回のテーマでもある「混在コンテンツ」の場合は赤文字で「Resources-mixed content」と表示されます。

「This page includes HTTP risouraces」つまり、「HTTPのコンテンツが含まれていますよ」という警告が出ていますね。

ず、

左側に「Non-sevure origins」として、SSL化されていないコンテンツを含むページがリストアップされるので、このページを見直してhttpsに対応していないコンテンツを削除する、もしくは他のhttpsに対応したものと差し替えるなどのメンテナンスを行えば大丈夫です。

メンテナンスを行ったら、もう一度デベロッパーツールで確認しておきましょう。

This page is secure(vailid HTTPS)と表示されていれば、訂正は完了です。

まとめ

昨年までは、常時SSL化が話題になっていましたが、この1年で常時SSL化はすでに「大前提」という位置づけにフェーズは進化しています。

Googleが常に考えているのは「検索ユーザー」にとっての安全性であり使いやすさです。

私たちが提供するブログも、訪問してくれる読者にとって安全・安心は大前提のうえで、コンテンツを楽しんでもらえるように、自分たちの意識も常にアップデートし、自信をもって収益化していきたいですね。