いきなり脅かしのようなタイトルですが、2020年2月、せっかく作ったホームページの一部が表示されなくなるかもしれません。
これは、ブラウザのセキュリティーが厳しくなるからです。
2020年といってもそんなに先の話ではありません。あと3ヶ月後です。
ここで言うブラウザとはGoogle Chromeのことです。
Google Chromeは2019年現在、日本で最大シェアのウェブブラウザで、約70%近くがGoogle Chromeと言われています。
何がどう厳しくなるのかご説明します。
混合コンテンツ(Mixed Contents)とは
混合コンテンツ(Mixed Contents)というのは聞き慣れない言葉だと思います。
これは、httpsセキュリティーで保護されたホームページの中に、一部のみhttpつまり暗号化されていないコンテンツがある状態のことです。
具体的には、ぺージ全体はhttpsつまり暗号化されて保護されたホームページなのに、ぺージの中の画像やJavaScriptなどが、暗号化されているない、というパターンです。
このようにhttps://とhttp://が混在しているぺージを混合コンテンツ(Mixed Contents)と呼ぶわけですが、これまでは特に問題なくブラウザで表示されていました。
しかしGoogleは世界的なテロやハッキングの対策として、セキュリティを厳しくする方針を打ち出しました。Google Chromeは正式に開発者のセキュリティーブログの中でこの声明を発表しています。具体的なクロームのバージョンとリリース時期も明らかにされています。詳しくはこちらの日本レジストリサービスのぺージをご覧ください。
このセキュリティブログの中で、具体的なリリースの日程も公表しています。今年の12月から段階的に厳しくなり来年2月には完全に混合コンテンツはブロックされてしまいます。
つまり、http://でセキュリティーで保護されていない部分は、ブラウザで表示されなくなる、つまり見えなくなってしまうということです。
放置しておくと、最悪ホームページの一部がブロックして表示されなくなるリスクがあります。
今やるべき対策
ではこれからできる対策とは何があるでしょうか。
まず、自社のホームページに混合コンテンツがあるかどうかをご確認ください。確認する方法は簡単です。
まず、確認したいホームページにアクセスします。
ブラウザのURLを表示する部分の左端に鍵マークがでていたら、問題なしです。
しかし、このように!マークがでている場合は、暗号化されていない部分があり修正すべき箇所がある、という表示です。
この場合、同じ画面でPCのF12キーを押してください。
画面に開発者向け画面が立ち上がるので、そこで「Console」というタブをクリックします。ここにどこを修正すべきか英語で赤字で書かれています。
このように簡単な操作で、誰でも自分の運営するホームページがどういう状況にあるのかを確認することができます。
内容が英語で、専門的な内容ですので全て理解する必要はないですが、赤字で修正箇所が表示されたら、なるべく早くホームページの運営管理をしている会社に連絡をしてください。そして該当の箇所を早めに修正してください。
来年の2月にブラウザの仕様が変わることは判っているのです。
あと3ヶ月しかありません、今すぐに対策を取ることをおすすめします。
完全httpの場合
さて、そこでこういう疑問が出てきます。
https://とhttp://が混在している場合は、来年の2月にコンテンツの一部が表示されなくなる可能性がある。
ではホームページ全体がhttp://の場合は問題は無いのではないか。
これは確かにその通りです。混合コンテンツがセキュリティー上の脅威と見做されているので、サイト全体がセキュリティーがかかっていない場合は、今回は影響がないと思われます。
しかしGoogleは常時SSL化を掲げていて、httpのホームページをこの世から完全に一掃したいと思っています。
既にインターネット上の流れるトラフィックの90%はすでにhttpsで、暗号化された状態だと言われています。
ウェブブラウザは、知らない間にアップデートされているので、普段特に意識しませんが、ブラウザの更新・アップデートのスピードは実はとても早いのです。
数年に1度はセキュリティー上の大きな変更があります。
今回のようにGoogleが本気になればホームページに表示される内容はすぐにブロックされてしまいます。
いつGoogleが「セキュリティーがかかっていないhttp://のサイトを表示しない」、と方針を変えても、何も不思議はありません。その時になって慌てても遅いのです。
残念なことに、まだhttpのまま放置されているホームページをちらほら見かけます。上場企業であっても、会社本体のホームページは暗号化されていても、子会社のホームページになるとhttp://のまま放置されていることはよくあります。
まずご自分の会社の所有するホームページが暗号化されているかを確認してください。まだhttpのまま、暗号化されていない場合は、一刻も早く対処することをお勧めします。