SSL化 混在コンテンツの原因と修正

SSL レンタルサーバー
2024.08.26
Sponsor

httpsとhttp

URLにはhttpsで始まるURLとhttpで始まるURLがあります。httpsはSSLで暗号化されたhttp通信です。詳しくは下記リンクをご参考下さい。

URLのhttpとhttps どう違うのか? 保護されてない通信とは? - WordPressを簡単に
Sponsor 目次 http と https httpsとはSSL化の必要性保護されていない通信SSL未導入のウェブサイト 各ブラウザでの表示保護されていない通信に対するGoogle Chromeの注意書きウェブサイト
wordpress.news-vouge.com

https されたサイト(下)と、http(暗号化されていないサイト)です。httpsはtuneアイコン、httpは「保護されていない」と表示されます。

Google Chrome 保護されていないサイトの表示
Google Chrome 保護されていないサイト
Sponsor

SSL化と混在コンテンツ

SSL化は進んでおり、現在、混在コンテンツで躓く場面はあまりないかもしれません。以前は、httpsを導入したページでも、http(暗号化されていない)のページをリンクすれば混在コンテンツであり、安全でないとされ、リンク先を開くことができませんでした。

混在コンテンツでリンク先に接続できない

安全でない場合は、リンク先のページを開くことができず、下の画像が表示されます。(画像はGoogle Chrome)

つまりhttpsのサイトにリンクしたhttpのサイトに接続できない場合があります。

SSL化 保護されていない通信
保護されていない通信

SSL化していないウェブサイトも、混在コンテンツのウェブサイトも多くありますし、神経質になる必要はないのかもしれません。

以前は接続されないという画面を良く見ましたが、現在は見ることが殆どありません。その理由は・・

多くのブラウザでユーザーに混合コンテンツの警告が報告されますが、報告されたときには手遅れです。安全でないリクエストは既に実行され、ページのセキュリティが侵害されています。 このような状況は、残念なことにウェブでは非常によく見られます。この理由から、すべての混合リクエストを単にブロックすることはできません。ブロックすると多数のサイトの機能が制限されてしまいます。

非常に良く見られるので、ブロックできないと記載があります。

混在コンテンツとは

SSL化されたwebページに、HTTPが残っていることを「混在コンテンツ」と言います。

HTTP は、Web サーバからブラウザへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。

Firefox は、安全に見えるウェブページ上の潜在的に有害で安全でないコンテンツをブロックすることにより、ユーザーを攻撃から保護します。

ブラウザ Firefoxのサイトに詳細があります。

(例)httpsとhttpのURLをリンクさせた場合

以前はhttp(暗号化されていないページ)をリンクさせると警告アイコンが付きましたが、今は錠前アイコンが付き、保護されている通信と表示されます。Google Chromeでブロックはできないと記載があるように、今はアクセスできない方が少ないです。

以前

URLページにリンクを貼る錠前アイコンアクセス
https://www.tohotheater.jpリンク可能緑の錠前アイコンアクセス可能
http://www.humax-cinema.co.jp貼ることは可能警告アイコン付きアクセス不可

現在

URLページにリンクを貼る錠前アイコンアクセス
https://www.tohotheater.jpリンク可能錠前アイコンアクセス可
http://www.humax-cinema.co.jpリンク可能錠前アイコンアクセス可

(例)SSL化している映画館と導入していない映画館

このページも、http://・・(暗号化されていない)サイトをリンクさせていますが、錠前アイコンが付いています。

SSL化 WordPressアドレスの設定を書き換える前に確認しておくこと

ウェブサイト作成の時に、httpsでURLを作成し、WordPressをインストールする場合は、ウェブサイトのアドレスはインストール時にはhttps://・・となっており、ウェブサイトのアドレスを変更する必要はありません。

WordPressをインストール後にウェブサイトのアドレスをhttps://・・に変更しなければならない場合は要注意です。ログインできない状態に陥るかも知れません。

  • 混在コンテンツがあり安全でないとされた場合、ページを開けない可能性もある。

ウェブサイトのアドレスを変更する前に、そのアドレスに問題なくアクセスできるか確認します。安全である錠前アイコンが付いていれば、https://・・にアドレスを変更します。

WordPress Codex の場合

  • URLはhttp(暗号化されていないサイト)
  • 保護されていない 安全ではないアイコンが表示されている

アイコンをクリックして情報を確認できます。

保護されていない通信
保護されていない通信

接続の詳細を開きます。

保護されていない通信
保護されていない通信

混在コンテンツの例と修正

以前、はてなブックマークのアイコンがまだSSL導入していなかった時の画像です。この後、はてなブックマークのアイコンのURLはhttpsとなりました。現在、混在コンテンツで躓くことはなくなりましたが、一応参考までに載せておきます。

  • 過去 http://b.st-hatena.ne.jp/
  • 現在 https://b.st-hatena.com/

下の画像はSSL導入しているhttpsのサイトにはてなブックマーク(httpの画像)を設置しています。混在コンテンツであり、エクスクラメーションマーク が付いてます。

SSL導入しているサイトが安全でない

SSL導入しているサイト(https)が「接続は安全ではない」と表示されています。

SSL化 保護されていない通信

詳細を開く

画像などと記載があったので、メディアをチェックします。はてブのURLがhttpとなっています。

  • http://b.st-hatena.ne.jp/
SSL化 保護されていない通信

原因ははてブだとわかったので、原因のリンクを外すかURLを変更します。

注意 現在のはてなブックマーク(はてブ)はSSL化導入しています。