Googleはインターネットのセキュリティを重視しており、暗号化されセキュリティに強いHTTPSへの移行を強く促していますが、その方針をさらに強める発表を行いました。2019年12月にリリース予定のChrome 79以降、段階的にHTTPの混在コンテンツをブロックするとのことです。

混在コンテンツは、サイト自体はHTTPSであって、そこに読み込む画像や動画、スクリプトなどが暗号化されていないHTTPで提供されているもののこと。

Googleによると、すでにChromeユーザーはすべてのメジャーなプラットフォームでブラウジング時間の90%以上をHTTPS上で費やしているとのこと。つまり、ウェブ全体の大部分がHTTPS化されているわけです。また、Chromeではすでに、HTTPSではないサイトを表示するとアドレスバーに「保護されていない」との注意が表示されるようになっています。

ただし、混在コンテンツに関しては、一部のデフォルトでブロックされているもの以外はそのまま読み込みを行います。これを悪用すると、HTTPSサイトであっても悪意のあるスクリプトを組み込んだりといったことが可能になってしまいます。

これを防ぐため、Chrome 79以降では混在コンテンツを段階的にブロックするようになります。

まず2019年12月にリリースされるChrome 79では、現在デフォルトでブロックしているiframeなどを、サイト毎にブロック解除できる設定が追加されます。その後、2020年1月のChrome 80では、動画や音声などの混在コンテンツを自動的にHTTPS経由で読み込みよう試みます。これに失敗した場合にはそのコンテンツはブロックされますが、先の設定により解除は可能です。また、画像については、引き続き表示されますが、HTTP経由のものが混在する場合には、アドレスバーに「保護されていない」との注意が表示されます。

そして、Chome 81では、動画や音声と同様に、混在画像についてもHTTPS経由での取得を試み、失敗した場合にはブロックするようになります。

ユーザー側からすると、通信が暗号化されているかどうかを気にする必要がなくなるのが大きなメリットでしょう。ただし、錠マーク（HTTPS経由で保護されている通信）が出ているからといって、そのサイト自体が安全かどうかは別の話。フィッシングサイトの多くがHTTPSを利用しているとの調査結果もあるので、個人情報を入力するようなシーンでは、引き続き注意が必要です。