HTTPで稼働していたWordPressサイトを常時SSL、HTTP/2化すると、大抵は「混在コンテンツ」の問題に悩まされます。
混在コンテンツとは、ページのHTMLそのものはSSLで保護されるようになったものの、ページを構成するリソースにHTTPでの呼び出しが混ざってしまっているコンテンツのことを指します。その部分はSSLでの保護を受けられません。
具体的には、CSS、JavaScript、画像ファイルなどのリソースがHTTPで呼び出される場合が多いです。また、CSSやJavaScriptそのものがSSLで保護されていたとしても、その中で呼び出されるリソースがHTTPであった場合も混在コンテンツに該当します。
Webページが「完全にSSLで保護」されていれば、ブラウザのアドレスバーに明示的にそれが表示されます。例えばGoogle Chromeでは、「鍵マーク」と「保護された通信」の文字列が表示され、それをクリックすると「保護された接続 お客様がこのサイトに送信した情報(パスワード、クレジットカード番号など)が第三者に見られることはありません」と表示されます(図1)。
一方、完全ではない混在コンテンツのあるサイトでは、鍵マークではなく「iマーク」が表示され、そこをクリックすると「このサイトへの接続は完全には保護されていません このサイトで目にする画像は、悪意のあるユーザーによって差し替えられたものである可能性があります」などと表示されます(図2)。
なお、2017年1月にリリースされた「Google Chrome バージョン56」から、HTTP接続の一部Webページに対して、ブラウザのアドレスバーへ「保護されていません」と警告が表示されるようになりました(図3)。このアップデートでは、WordPressのログイン画面などのようにパスワードを入力するHTTP接続のWebページと、クレジットカード番号を入力するHTTP接続のwebページが対象となりますが、グーグルは原則として、全てのWebサイトの管理者にHTTPからHTTPSへの切り替えを推奨しています。ユーザーへ安全を促すために、HTTPSを用いていないWebサイトには今後もっと厳しい表示となっていくことが予想されます。
Copyright © ITmedia, Inc. All Rights Reserved.