Google Chrome wordt strenger voor gemengde inhoud op HTTPS-websites

Vanaf volgend jaar wordt Google Chrome strenger voor websites die nog niet volledig zijn overgestapt op HTTPS, maar bepaalde inhoud nog via HTTP inladen. Tot nu toe zagen browsers die ‘gemengde inhoud’ nog grotendeels door de vingers.

Het probleem van gemengde inhoud doet zich voor wanneer de website zelf wel volledig naar HTTPS is gemigreerd, maar bepaalde (externe) bronnen zoals afbeeldingen, audio, video of scripts nog via het onveilige HTTP worden ingeladen. Browsers zagen dat tot nu toe door de vingers omdat HTTPS nog niet als de facto standaard kon worden aanzien.

In recente jaren is de druk op websites om over te stappen naar HTTPS echter flink opgevoerd. Zowel Google als Mozilla, de maker van Firefox, hebben elk op hun eigen manier het gebruik van HTTPS zwaar aangemoedigd. Mozilla lanceerde samen met partners de gratis dienst Let’s Encrypt, die TLS-certificaten aanbiedt om HTTPS te ondersteunen, terwijl Google HTTPS-sites steeds meer is gaan bevoordelen, zowel in zijn browser als zoekmachine.

Het resultaat is dat vandaag 90 procent van alle webverkeer in Chrome over HTTPS verloopt, zo laat Google weten in een blogpost. En dus acht het bedrijf de tijd rijp om ook het probleem van gemengde inhoud aan te pakken, zodat websites hun volledige inhoud via HTTPS aanbieden.

Stappenplan

“In een reeks stappen die beginnen in Chrome 79, gaat Chrome geleidelijk over naar het standaard blokkeren van alle gemengde inhoud”, waarschuwt Google in zijn blogpost.

In eerste instantie wordt een nieuwe instelling toegevoegd om gemengde inhoud die vandaag al standaard geblokkeerd wordt (zoals scripts en iframes) desgewenst te deblokkeren op bepaalde websites.

Vanaf Chrome 80, dat in januari 2020 wordt verwacht, zullen gemengde audio- en videobronnen automatisch worden geüpgraded naar HTTPS wanneer dat beschikbaar is. Zo niet, worden ze geblokkeerd. Afbeeldingen zullen wel nog laden, maar Chrome zal een waarschuwing tonen dat de webspagina niet veilig is.

Vanaf Chrome 81 worden ook afbeeldingen automatisch naar HTTPS geüpgraded of anders geblokkeerd. Chrome 81 wordt in februari 2020 uitgerold naar vroege releasekanalen.