Google Chrome będzie blokować strony zawierające Mixed Content

Google ogłosiło, że przeglądarka Chrome rozpocznie blokowanie stron internetowych zawierających mixed content począwszy od grudnia 2019 roku. Administratorzy i właściciele stron internetowych powinni przeprowadzić audyt swoich witryn pod kątem treści dostarczanych z niezabezpieczonych certyfikatem SSL źródeł.

Czym jest Mixed Content

Mixed content występuje kiedy zasoby dostarczane są do strony internetowej zarówno ze źródeł zabezpieczonych (HTTPS) jak i stron niezabezpieczonych protokołem SSL. Strony takie pomimo wykupionego certyfikatu nadal mogą stanowić zagrożenie dla ich użytkowników.

Jak Google Chrome rozwiąże problem Mixed Content?

W chwili obecnej Google Chrome ładuje strony internetowej zawierające Mixed Content. Jedyną informacją, że strona posiada Mixed Content jest ostrzeżenie pojawiające się zamiast kłódki w pasku adresu. Począwszy od aktualizacji Chrome 79, która swoją premierę będzie miała w grudniu 2019 roku Google wprowadzi dwie zmiany.

1. Przeglądarka sprawdzi, czy zasoby dostarczone z niezabezpieczonych źródeł posiadają również wersję HTTPS i jeśli taka wersja będzie występować przeglądarka automatycznie dokona zamiany.
2. Jeśli treści nie posiadają wersji zabezpieczonej protokołem HTTPS, użytkownikowi wyświetli się przycisk pozwalający na odblokowanie niebezpiecznych zasobów.

Począwszy od stycznia 2020 roku, wraz z wprowadzeniem Chrome 80 ma zostać zlikwidowana opcja odblokowywania niezabezpieczonych zasobów i nastąpi całkowite zablokowanie stron zawierających mixed content.

Jak podaje wyszukiwarka Google w 2019 roku niemal 90% odwiedzin globalnie miało miejsce na stronach z włączonym certyfikatem SSL. Zablokowanie mixed content na tych stronach oraz umieszczenie komunikatu o niezabezpieczonych zasobach może w drastyczny sposób zmniejszyć konwersje i sprzedaż na stronach z błędnie zaimplementowanym certyfikatem.

Jak zabezpieczyć się przed Mixed Content?

Przede wszystkim należy wykonać audyt swojej strony internetowej. Podstawowy komunikat o zagrożeniu znajduje się zazwyczaj w pasku adresu obok URL witryny. Jeśli nawet w tym miejscu nie występuje komunikat ostrzegawczy, warto zawsze skorzystać z narzędzi analitycznych lub zgłosić się z prośbą o audyt do agencji interaktywnej.