Googleセキュリティ強化。Chrome ブロック 防ぐ webサイト 対応 方法

2019年10月、Googleの検索エンジンで検索のコアアルゴリズムのアップデートが随時影響が出ていますが、それ以上に、webサイト担当者の頭を悩ます発表が出ました。

なんと、Google Chromeで、2020年3月以降(予定)、https接続で、暗号化されていないファイルを読み込んでいるホームページは、アクセスできなくなるかもしれない、という問題が出てきているのです。

ほかにも、SSLの規格、TLSで、初期のバージョンTLS1.0、TLS1.1を利用しているサイトも、同じように、アクセスブロックをされてしまうかもしれないという問題が出てきています。

2つも発表してくるところが、Googleのすごいところですが、対応はしないとまずいですね。まずは、なぜ、そうなるのか、自社のサイトは大丈夫か?、そして、その対応方法について解説していきます!

2020年3月予定でHTTPSページにhttpのファイルがある場合、アクセスブロックされる

Google Chromeでのことですが、クロームは、シェアの伸びているブラウザソフトなので、webマスターの方は、しっかりと対応をしていってください。

2020年3月予定ですが、Google Chromeからアクセスブロックされてしまうかもです。

Googleは10月3日に、「混合コンテンツ(Mixed Content)」のデフォルトブロックをしていくことを発表

参照
Google Security Blog
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

ここでいう「混合コンテンツ」は、httpsから始まるホームページなのに、そのページ内で、暗号化されていない、つまりhttpで読み込まれるファイルがあるコンテンツをさしています。

よくあるケースとしては、最初、httpでwebサイトを作っていて、画像などを、フルパスで、http://XXX.com/XXX.jpg と読み込んで、ホームページを作った場合です。

これは、ブログサイトなどを古くから運用していたり、CMSなどで、そのように作っていたりすると発生する事案です。

ちなみに、例として、画像をあげましたが、画像だけではありません。

対象となるのは、画像、動画、スタイルシート、スクリプトなど、読み込む対象のファイルはすべてとなります。

最初のブロックとなるのは、Google Chrome 80。
Google Chrome 80。は、音声や動画などのHTTPで読み込んでいた場合、自動でHTTPS接続へアップグレードしてくれるようになるが、HTTPS接続で読み込めない場合、コンテンツはブロックされるようになります。

簡単に言うと表示されなくなります。

もう、これだけでも、下手をすれば、クレームになりかねません。

ちなみにこの時点では、画像に関してはHTTP接続のものが混ざっていてもブロックされないので、若干、よかった!という感じです。

ただ、2020年3月リリース予定の「Google Chrome 81」では、HTTPS接続による読み込みに失敗したコンテンツはすべてブロックされるようになるので、この時点で、https接続のページは、すべて読み込みがhttpsのファイルではないと、webページが表示されなくなってしまう可能性が出てきてしまいます・・。

Google Chromeにブロックされないようにする対応1:調査

当たり前ですが、最初の対応は、調査です。

webサイト内で、http://・・・で、ファイルのリンクが張られていないかを、すべてのホームページのソースの中からチェックしてください。

チェックする方法は、htmlなら、DLしてきて、GREPなどで一括検索すると、簡単です。

ただし、気をつけて欲しいのは、CSSやjsファイルです。

これらのファイルもしっかりと、確認をしておいたほうがいいです。

自社サービスではなく、他社の広告タグなどが残っていて・・・というケースが起き得ることです。

問題は、CMSの場合ですね。

ただ、この場合、CMSの管理者に早々に問い合わせをして、そういうファイルがないかを洗い出しておく、というのがよいです。

コストは、かかるかもしれませんが、やっておかないと、後々で、大変なことになりかねません。

Google Chromeにブロックされないようにする対応2:改善

前述のとおり、http://・・・で始まっているファイルをすべて、httpsで読めるように、https環境にアップをしていきましょう。

あるいは、常時SSL対応をするようにしましょう。.htaccessなどで、対応もできるはずなので、わりと、htmlベースのホームページなら、すぐに対応できると思います。

また、CMSにしても同様です。常時SSL化を、早々にできるようにしておいた方がよいと思います。

このときの注意点として、HTTP環境とHTTPS環境でサーバが分かれていて、設置されるファイルが異なるとき。

ここは重要です。

httpのファイルをhttpsに、ただ移行するだけでいいのか?

それとも精査が必要なのか。

このポイントの調査はしておいた方がいいですね。

また、これによって、https環境のテスト環境も作る必要性が1次的にでてくるかもしれません。

しかし、最近のレンタルサーバ(さくらインターネットやXサーバなど)には、テスト環境URLという仕組みがでてきているので、それを活用するのもありかもしれませんね。

TLS 1.0/TLS 1.1サイトも2020年3月予定でアクセスがブロックされる

Googleの2019年10月1日の発表で、TLS 1.0/TLS 1.1を使っているwebサイトもCromeからは、アクセスがブロックされる、ということがリリースされました。

参照 Google Security Blog 2019/10/1
https://security.googleblog.com/2019/10/chrome-ui-for-deprecating-legacy-tls.html

ざっと読むと、びっくりしますね。え、そもそも、ページが表示されない、Chromeにブロックされてしまうの。。。と思ってしまいますよね。

そもそも、TLSとは

「TLS(Transport Layer Security)」はインターネット通信を暗号化するプロトコル。
TLSは、SSLの規格の1つなので、実は、現在一般的に「SSL」と呼んでいるものもTLSのことがあります。

つまり、古いSSLの規格を使っているサイトは、新しいSSLに変えてくださいね。ということです。TLS 1.1が2006年リリースのものなので、その時代から使っているSSLというのは、相当珍しいとは思いますが。

現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多い

引用:グローバルサイン SSLとTLSの違いと「SSL/TLS」と表記される理由
https://jp.globalsign.com/ssl-pki-info/ssl_practices/ssltls_brittle.html

あんまり、TLS 1.0/TLS 1.1を使っているケースはないと思います。

それゆえ、まずはの対応方法!

そもそも、TLS 1.0/TLS 1.1を使っているかを調査、確認する方法です。

これは、すごく簡単で、
Qualys SSL Labs社が提供している「SSL Server Test」で調査可能です。
https://www.ssllabs.com/ssltest/

このサービスを使えば、SSLサーバ証明書の設定状況の確認、安全性の診断が簡単にできます。ちなみに、B以下と診断された場合は、セキュリティの脆弱性が見つかったことになるのでご注意ください。

仮に、使っていた場合でも、対応方法としては、新しいSSLの証明書を取得して、それに切り替えれば、OKです!!

CromeでTLS 1.0/TLS 1.1サイトがアクセスがブロックされる流れ

2020年1月13日リリース予定の「Google Chrome 79」以降では、
「TLS 1.0」「TLS 1.1」を利用したWebサイトにアクセスすると、
アドレスバーに“Not Secure(保護されていない通信)”というラベルを表示

2020年3月予定の「Google Chrome 81」では、
TLS 1.0/TLS 1.1を利用するWebサイトへアクセスすると、警告画面が表示される

こういう2段階の流れですが、2020年3月予定というので、早めの対応、確認は必要ですね。Google Cromeは、すでに多くのwebサービスで、推奨環境となるwebブラウザ。しかも、アンドロイド系のスマホだと、ほぼCromeでスマホサイトをネットサーフィンするでしょうから、対応は速やかに行った方がいいですね!

IFTTT(イフト) で できること