SSLに関する混合コンテンツについて勉強してみた

2018年

インターネット・wifiやスマホなどのIT技術や端末の普及に伴って情報の漏えいの危険性は増している。

インターネットの閲覧者=使用者のプライバシー保護や不正な誘導、情報漏えいを防ぐためホームページやブログといった情報コンテンツ=発信側ではSSL化が推進されている。

ただ、SSL化の流れに伴い過渡期に起きると思われる「混合コンテンツ」という問題がある。

この混合コンテンツが存在するページは今後、正しく表示されない、または表示されなくなる可能性がある。

(閲覧アプリやソフト(以下ブラウザ)の今後の仕様変更やブラウザに対する閲覧者の設定によって表示されなくなる可能性がある)

何故SSL化については こちらを参照>SSL化=https化で知った意外と対策されていないネット社会の現状

また混在コンテンツには大きく分けて2種類あり、種類によって表示のされ方などに違いがある。

今回は、この「混在コンテンツ」について勉強してみる。

目次

SSLとは

混在コンテンツとは

混在コンテンツの二つの種類

具体的対処

SSL化のチェック方法

SSLとは

従来のインターネットなどの通信方法では閲覧者と閲覧される側のデータのやり取りは平文(テキスト)のまま行われている。

平文のままなので通信途中のデータを第三者が傍受すれば内容は筒抜け。

その点、SSL(※1)とは通信を暗号化してネット上を流れるデータが仮に第三者に見られても暗号解読キーを持たなければ内容を知ることが出来ないシステムになっている。

(暗号解読キーは閲覧者側と閲覧される側の双方のみが持つ)

このため、これまではネットショッピングなど個人情報やクレジットカード情報などのやり取りに使われていた。

昨今、認知度が高い企業の名前でドメイン(インターネット上のアドレスの一部)を取得し、その企業に成りすましたページを作成・誘導し個人情報を不正に入手しようという動きが増えている。

またSSL化するためには申請をして「SSLサーバー証明書」を取得する必要がある。

これはネットワーク社会においての信用につながる。

※1:SSL=secure sockets layerの略で暗号化したデータを通信するためのプロトコル(プログラム言語のようなもの)

目次に戻る

混在コンテンツとは

閲覧する1つのページの中には様々なSNSボタンや広告などが表示されている。

SSL化されたページ(※2)であっても表示されているボタンや広告、リンク貼り付けされた別サイトのアドレスがSSL化されていない場合にそれらを「混在コンテンツ」という。

※2:SSL化されたページはブラウザのアドレス欄左側に緑色の「南京錠マーク」が表示される。

混在コンテンツが存在するページは正しく表示されない、またはブラウザの設定によってはブロックされて表示されない可能性がある。

関連記事

混在コンテンツでブロックされる web サイトを修正するには

MDN web docs moz://a 混合コンテンツ(英文)

目次に戻る

混在コンテンツの二つの種類

混在コンテンツの種類には大きく「混合アクティブコンテンツ」と「混合受動/表示コンテンツ」がある。

前者はSNSボタンや広告といったものが多く、後者は表示されている記事の途中などに埋め込まれた他のサイトへのリンクが該当する。

(後者は当記事中の関連記事の項目などで貼りつけているリンクが該当する>リンク先はSSL化されていることを確認済み)

混合アクティブコンテンツ

考えられるコンテンツとしては、

SNSボタン

広告・アフィリエイトのリンク

ブログランキングなどのバナー

ウィジットなどに使われるモジュール

がある。

これらのリンク先がSSL化されていない場合は正しく表示されない、または今後のブラウザの仕様変更などによって表示されない可能性がある。

混合受動/表示コンテンツ

混合パッシブ/ディスプレイコンテンツとも呼ばれる。

記事文中に貼りつけてある画像や他のサイトへのリンク(※2)が該当する。

これらのリンク先がSSL化されていない場合は[2018年1月13日現在]は普通に表示される。

ただし、閲覧者のブラウザ設定によってブロックされる可能性がある。

また通信の一部が暗号化されないため一部の情報は第三者によって見られる恐れが生じる。

今後のブラウザの仕様変更などによっては表示されなくなる可能性がある。

※2:一部のリンクサイトは混合アクティブコンテンツに分類される場合がある

目次に戻る

具体的対処

一言で言えば、『httpで始まるアドレスの全てをhttpsに変更する』

ただしレンタルサーバーなどを運営している場合は相手のサーバーがSSL化されていなければ閲覧者がリンクをクリックした時点で正しく表示されない。

「ページが存在しません」

「この接続ではプライバシーが保護されません」

「404not found」

などと表示されるはず。

複合コンテンツがあるサイトでも表示されるケースもある。

これはページの一部にSSL化=https化されたリンクが張ってある場合などであると思われる。

この場合アドレス欄の左側に緑色の「南京錠マーク」は表示されず丸で囲んだ「i」マークが表示される。

個人的にはSSL化されていないサイトやコンテンツの貼りつけは解除した方が無難だと考えている。

それは、まず閲覧頂く人へのマナー。

次にリンク先のコンテンツが上手く表示されない≒存在しない状態を長く続けるとgoogleで検索エンジンへの登録(インデックス)を解除しかねないからだ。

目次に戻る

SSL化のチェック方法

簡単なチェックはブラウザでおこなうのが速い。

スマホ・タブレットで主流のFirefoxやPCで主流のグーグルクロームやインターネットエクスプローラーであればページを表示した時にアドレス欄の左側をチェックすればよい。

アドレス欄の左側に緑色の「南京錠マーク」が表示されていれば一応OK

どの様に表示されるかは こちらを参照>SSL化=https化で知った意外と対策されていないネット社会の現状#1

ただし、現在は「混合受動/表示コンテンツ」が存在していてもページが表示されて事があるようだ。

これは今後のブラウザの仕様変更で表示されなくなる可能性がある。

備考

Firefoxで当サイトを表示させてみると↓↓↓

Firefox

赤矢印→の「南京錠マーク」をクリック>青矢印↑の「>」マークをクリック↓↓↓

Firefox

橙矢印←の「詳細表示」をクリック↓↓↓

Firefox

上の画の赤いアンダーラインのところに「暗号化によって~中略~内容をのぞき見られる可能性は低くなります。」と表示される

関連記事

公式ページ Firefox

目次に戻る

お薦め>>***人気の記事一覧***

**「エントロピー増大の投稿」を御覧 頂きありがとうございます。**