2020年のChrome80/Chrome81アップデートによるSSLの影響

今年もGoogle Chromeのアップデートにより、非SSLサイトは注意しなければいけない点があります。 結論から言うと、表示している画像が別のドメインで、httpsに対応していないと画像が表示されなくなります。
今となってはSSL化していないサイトの方が少数派になってきましたが、それでもまだSSL化をしていないサイトは存在します。

2018年7月にリリースされたChrome68からSSL化されていないサイトは警告表示をさせる等、段階的にSSLを推奨してきました。 そして、2019年10月3日にセキュリティブログで混合コンテンツを段階的にブロックすると発表しました。
(参考:GoogleSecurityBlog「No More Mixed Messages About HTTPS」)

そんな中、2020年1月現在の最新バージョンは、Chrome79ですがユーザーがMixed Contentによるブロックを解除する設定ができるようになりました。

これまで一律でiframeやJavaScriptの読み込みはブロックされていましたが、サイト毎にブロックを解除して閲覧することが可能になりました。

とはいえ、一般ユーザーがこの機能を知っているというケースは少ないかと思うので、早めの対策が必要になります。
今後のChromeの展開について解説していきます。

2020年のChromeアップデート

1月にリリース予定のChrome80では、httpで読み込まれている全てのリクエストを自動的にhttpsに変換して読み込むような仕様変更が実装されます。

これにより、いちいちデータベースやHTMLファイルなどをhttp→httpsに置換しなくても、鍵マークが表示されるという事になります。

もちろん、読み込み先がhttpsに対応している事が前提になります。
このアップデートにより、初心者でも常時SSL化がしやすくなることが伺えます。(私にとっては痛手ですが)

そして問題となるのが、2020年2月にリリース予定のChrome81です。
現在、混在コンテンツとして表示されている画像も自動的にhttpsで接続し、読み込めない場合はブロックされるようになります。
ただブロックといっても、まったく画像が表示されなくなるのは…

  • 別ドメインまたはサブドメインで読み込んでいるhttp画像

が対象となるので、同一ドメインでhttpで読み込める画像については引き続き表示はされるようです。まとめると…

Chrome80(2020年1月リリース予定)

  • 混在コンテンツの動画、音声を自動的にhttpsで接続し、読み込めない場合はブロック
  • 混在コンテンツの画像は引き続き表示されるが、アドレスバーに「保護されていない通信」と警告を表示

Chrome81(2020年2月リリース予定)

  • 混在コンテンツの画像も自動的にhttpsで接続し、読み込めない場合はブロック(ただし別ドメインまたはサブドメインに限る)

ということになります。
そもそも、同一ドメインでhttps化されていて、httpsで見れないというケースは無いと思うので、実質的には別ドメインの画像を表示させていてその別ドメインがhttpsに対応していない場合はChrome81になると表示すらされなくなるということになります。
思い当たるケースとしてはバナーを直リンクで表示させていたりする等でしょうか…

とにもかくにも、早めの対応をおすすめします。