Googleが非SSL化(http)リンクへのブロックを段階的に適用することが判明

未分類

2019年10月に実施されたGoogleのコアアップデートにより、Chromeが「http://」から始まるコンテンツへのアクセスをブロックすることを発表しました。

これはGoogleのSecurity Blogにて「No More Mixed Messages About HTTPS」と題して発表されたものです。

それによるとGoogleのブラウザであるChromeが「https://」によるコンテンツだけを表示(ロード)できるように変更していくとのことのようです。

詳細について以下にまとめました。英語の文章を元に書いていますので誤訳御免でお願いします。

Googleコアアップデートとは?

Googleは毎日細かいアップデートを行っていますが、合わせて数ヶ月に一度、検索アルゴリズムとシステムなど様々なサービスの仕様を変更する大型アップデートを行っています。

いわば「大きな仕様変更」とでも呼ぶべきものですが、これをGoogleでは「コアアップデート」と呼んでいます。

TLのブロガーが「検索順位が上がった!」「サイト飛ばされた…」などとツイートしているのはコアアップデートによる変更によるものです。

Googleコアアップデートにより、非SSL化(http)リンクへのブロックを適用するとのこと

httpとhttpsとの違いとは

当ブログもSSL化しています

詳しく説明すると長くなるのではしょりますが、超ざっくり言えば、httpを安全かつユーザーのプライバシーとセキュリティを守れるようにしたのがhttpsです。

僕もブログを始める前は「sが付いているだけでそんなに違うのかな?」と思っていましたし、中々分かりにくいところかもしれません。

Googleの考え的には

In the past several years, the web has made great progress in transitioning to HTTPS: Chrome users now spend over 90% of their browsing time on HTTPS on all major platforms. We’re now turning our attention to making sure that HTTPS configurations across the web are secure and up-to-date.

No More Mixed Messages About HTTPS

Google的には、

  • HTTPSに移行して結構経った
  • HTTPSに移行して進歩した
  • 現在のChromeユーザーは90%以上の時間でHTTPSを利用している
  • Web上のHTTPS設定が安全で最新の状態であることを確認している

という認識らしいです。

じゃあGoogleは何をしたいのか?

Googleによると「現在のChromeユーザーは90%以上の時間でHTTPSを利用している」とのことですが、逆に言えば「まだ10%はHTTP」ということですね。Googleはこの両方がある状態を解消したいみたいです。

現在「http://」から始まるサイトを表示すると「このサイトへの接続は保護されません」と表示されます。こういった「http://」から始まるサイトの評価がこれまで以上に下げられることになるんじゃないでしょうか。(これは僕の予想です)

またサイトだけではなく、サイト内の画像、音声、ビデオのデータ「http://」から始まる場合はブロックされるようです。ブロックがどのような状態になるのかは分かりませんが、非表示になるんですかね。

HTTPS pages commonly suffer from a problem called mixed content, where subresources on the page are loaded insecurely over http://. Browsers block many types of mixed content by default, like scripts and iframes, but images, audio, and video are still allowed to load, which threatens users’ privacy and security.For example, an attacker could tamper with a mixed image of a stock chart to mislead investors, or inject a tracking cookie into a mixed resource load. Loading mixed content also leads to a confusing browser security UX, where the page is presented as neither secure nor insecure but somewhere in between.

No More Mixed Messages About HTTPS

Google的には「いくらページをHTTPSで安全なものにしても、そのページにあるコンテンツ(画像や動画、音声ファイル)が安全じゃなかったら意味がない」という考えみたいです。当然の主張ですね。

例として「株価チャートの画像を改ざんすれば投資家を騙せる」ということを書いています。これじゃあ安全か安全じゃないか分からないわけで、こういう「http」と「https」が混ざった状態の解消を目指していく方向性を決定したということですね。

じゃあどうなるの?

さきほど「こういった「http://」から始まるサイトの評価がこれまで以上に下げられることになるんじゃないでしょうか。」と勝手な予想を書きましたが、すぐに「httpのページがすべてブロックされるわけではない」と僕は解釈しています。

両方が混在している状態を解消する」ことが目的っぽいですね。

つまり、「https://」から始まるページ内に「http://」から始まるコンテンツやリンクを貼ってもブロックするという感じかと。

  • https→https OK
  • http→https OK
  • https→http ブロック

みたいなイメージです。

Googleコアアップデートにより、非SSL化(http)リンクへのブロックは段階的に行う

https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.htmlより

Googleは「すべての混合コンテンツを一度にブロックするのではなく、一連のステップでこの変更を展開します。」と書いています。

2019年12月のChrome79、2020年1月のChrome80、その後のChrome81で実装するとのことです。

Chrome80では「画像をロードすることはできるが、オムニボックスに「セキュリティ保護なし」チップが表示される」とか、Chrome81では「画像はhttps://に自動アップグレードされ、https://でロードに失敗した場合、Chromeはデフォルトでそれらをブロックする」とか書いてありますが、まだこの辺はよくわからないですね。

どうすればいいの?→誰かがなんとかしてくれそう

SSL化しているサイトにとっては、具体的な問題は「画像が表示されない」「リンクがエラーになる」とかそういうものになりそうです。リンクエラーで評価が下がるなんてこともあるかも。

でも記事が少ないのなら逐一チェックしていけばいいでしょうし、記事数が多くてもWordPressならプラグインを入れれば一発で変換できたりしないのかなと思っています。

僕はできませんが、誰かがプラグインを作ってくれるんじゃないでしょうか。超他力本願ですが、ブロガーはエンジニアでもプログラマーでもないので、技術的なことは誰かの力を借りればOKです。

ライブドアブログもhttps化することを発表しましたし、そのレ流れは加速していきそうですね。

変更点が気になったので記事を書いてみましたが、僕は専門家でもないですし、英語ができるわけでもないので間違っているところがあるかもしれません。その場合は教えていただけると助かります。