【2020年3月19日追記】
Chromeブラウザのリリースが一時停止したため、本コラム記載のスケジュールが変更になる可能性があります。
ChromeにおけるMixed content(混在コンテンツ)警告強化の歴史
2019年11月に公開した当コラムの『ChromeがMixed contentの段階的なブロック強化を開始!詳細や対応方法とは?』にて、Mixed content(混在コンテンツ)への警告が強化され、最終的には画像なども表示されなくなることを説明しました。
Mixed content(混在コンテンツ)とは、簡単に言うとhttpsでアクセスできるページの中にhttp(非暗号化通信)で読み込まれるコンテンツが存在していることを指します。アドレスバー上はhttpsであっても、ページ内のリンク先にhttpでアクセスしているファイルがあった場合、改ざんされたファイルを送信されてしまう可能性があります。
このMixed content(混在コンテンツ)に対して、GoogleはChromeブラウザ上で鍵マークを表示しない(「i」マークを表示する)、アクセスを自動的にhttpsに迂回させるなどの対応を行ってきました。
ダウンロードコンテンツの警告強化について
今回のコラムで取り上げている「ダウンロードコンテンツ」とは何でしょうか?例えば、さくらのSSLでは多くのSSLサーバー証明書(以下、SSL証明書)を取り扱っていますが、一部のSSL証明書は書面による申し込みも可能です。Excelファイルに申込内容を記入するのですが、そのExcelファイルこそが「ダウンロードコンテンツ」の1つです。
このファイルがhttpでリンクされている場合、Excelファイルの内容を悪意のある第三者が改ざんしてマルウェア等を埋め込むことが可能になります。もちろん、ファイルには種類があり、画像や動画、Windowsで実行可能なexeファイルなど様々なものがあります。
そして今回、ファイルの種類によって警告表示・ブロックされる時期が変わってきます。Googleから公表されている警告表示・ブロック化のスケジュールを見てみましょう。
Chrome 82からChrome 85にかけて4段階で警告が表示され、最終的にダウンロードがブロックされることになります。この警告が表示される条件は、https化(SSL化)されたサイト上にあるhttp、つまり暗号化されていないファイルをダウンロードする際に警告が表示されます。
例えば、 https://example.jp というサイト上で http://example.jp/apps.exe というファイルをダウンロードすることを想像してください。このhttp通信でダウンロードされるファイルの種類によって、警告表示の段階が設定されています。
警告表示の段階について
上図にもある通り、警告は4段階が設定されています。まずは「Executables」で実行形式のファイルです。実行形式のファイルはダブルクリックでそのまま実行できてしまい、悪意のあるファイルだった場合は即座にPCへ悪影響があります。
次に「Archives」でZIPなどの圧縮ファイルを指します。中にどのようなものが含まれているかわからないため、危険度が高く設定されていると考えられます。
3段階目の「All other non-safe types」は日本語で「他すべての安全ではない形式」となりますが、例えばPDFやdocxのようにマクロ等でPC上のファイルを操作できてしまう可能性がある形式を指しています。
最後は画像や音声、動画、テキストファイルです。PCに悪影響を与える可能性の低いファイルがここに含まれています。
それぞれ、コンソール上で警告(デベロッパーツール内で表示)、ブラウザ上で警告、ブロックと対応が強化されていき、最終的に2020年10月リリース予定のChrome 86より、http(非暗号化通信)ソースのファイルのダウンロードが全てブロックされます。
警告表示・ブロック回避の方法は?
これまで当コラムでもご紹介してきた通り、警告表示を回避するためにはダウンロードコンテンツもhttpsのURLでダウンロードさせる必要があります。もちろん、他のファイルも含めた全てのファイルをhttps化し、サイトの常時SSL化を完成させることが大切です。
問い合わせの中でも多い事例が、全てのファイルがhttpsでアクセスできる状態になっているだけで、httpsへのリダイレクトが設定されていない場合です。サイトを常時SSL化して確認が終わったら、最後はリダイレクト(httpのURLをサーバー側でhttpsに強制的に変換する)設定を行うことが大切なので覚えておきましょう。
こちらの記事もあわせておすすめ!
本コラムでもご紹介しましたが、コンテンツに関する警告については『ChromeがMixed contentの段階的なブロック強化を開始!詳細や対応方法とは?』で詳細説明をしています。また、「保護された通信」が表示されない場合などブラウザのエラーに関する『SSL設定時に表示されるエラーや警告の原因を徹底解明!~コンテンツエラー編~』も併せてご覧ください。