Więcej
Chrome zablokuje niezabezpieczone zasoby Twojej strony

Chrome zablokuje niezabezpieczone zasoby Twojej strony

04-10-2019 12:47:54

Google Chrome - najpopularniezjesza przeglądarka internetowa na świecie - zaczyna weryfikować czy strony internetowe zabezpieczone certyfikatem SSL ładują zasoby zawsze z użyciem HTTPS. Tam, gdzie dojdzie do niezgodności (tzw. mixed content) zawartość będzie blokowana.

Przez ostatnie lata Google dokładał starania, aby wszystkie strony internetowe korzystały z certyfikatów SSL. Teraz, kiedy 90% czasu spędzanego na przeglądarce Chrome to czas na HTTPS*, Google uznał, że czas na poprawę jakości wdrożeń certyfikatów. Mixed content - czyli sytuacja, gdy strona działa na HTTPS, ale niektóre z jej treści, np. pojedyncze zdjęcie - dostępne są na HTTP - jest na tyle częstym problemem, że Chrome wziął go na celownik. Ostatecznie zasoby takie będą blokowane.

Dobra wiadomość jest taka, że jeśli zasoby Twojej strony dostępne są zarówno p HTTP jak i HTTPS, Chrome automatycznie zaktualizuje je do HTTPS.

 

prezentacja mixed content w Chrome 77 - page info

Przykład jak wygląda informacja o mixed content przed wprowadzeniem zapowiadanych zmian - w Chrome 77. Jak widać strona jest zabezpieczona (Certyfikat: Ważny), ale znajduje się na niej formularz przesyłający dane po HTTP.

 

Planowane zmiany w kolejnych wersjach Chrome

  • Chrome 79 (grudzień 2019)
    w Ustawieniach witryn da możliwość odblokowania mieszanych treści dla wybranych stron;
  • Chrome 80 (styczeń 2020)
    mieszane treści auto i video zostaną automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane. Z kolei mieszane obrazy będą nadal ładowane, ale powodując pojawienie się informacji "Niezabezpieczone".
  • Chrome 81 (luty 2020)
    mieszane obrazy będą automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane.

WordPress vs mixed content

Jeśli chcesz się przekonać czy Twoja strona zawiera mixed content możesz użyć jednego z wielu narzędzi online, np. tego
Jeśli Twoja strona jest zbudowana na WordPress, korzysta już z certyfikatu SSL i dochodzi na niej do mieszania treści, możesz skorzystać z tej wtyczki

 

Dlaczego mixed content to problem?

Wywoływanie zasobów przy użyciu protokołu HTTP osłabia bezpieczeństwo całej witryny, ponieważ żądanie takie podatne jest na ataki typu man-in-the-middle, w których to atakujący podsłuchuje połączenie sieciowe i wyświetla lub modyfikuje komunikację między dwiema stronami. Korzystając z zasobów dostępnych na HTTP, przestępca może przejąć pełną kontrolę nad całą stroną, a nie tylko zaatakowanym zasobem**. Przykładowo przestępca może sfałszować obraz, aby wprowadzić śledzący plik cookie. 

 

Źródło:

https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
** https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Najnowsze wpisy

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
03-06-2020 11:45:25

CA/Browser Forum wypracowało nowe metody weryfikacji prawa do domeny. Dotychczas odbywało się to za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT. Teraz czas na potwierdzenia prawa do domeny za pomocą połączenia głosowego.

 

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
Wygasa AddTrust - zewnętrzny CA Root Sectigo
27-04-2020 10:47:05

Sectigo oferowało możliwość podpisywania certyfikatów przy użyciu starszego roota (AddTrust), aby zapewnić obsługę starych systemów i urządzeń. Root ten wygasa 30 maja 2020 r.

Wygasa AddTrust - zewnętrzny CA Root Sectigo
Let’s Encrypt unieważnia certyfikaty
04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt unieważnia certyfikaty
więcej wpisów