Czym jest mixed content i jak go naprawić? Przekreślona ikona kłódki mimo certyfikatu SSL

Informacje o niezabezpieczonym połączeniu w przeglądarce internetowej oznacza, iż nie wszystkie elementy znajdujące się na wyświetlanej stronie WWW są przesyłane szyfrowanym połączeniem HTTPS. Mówimy tu o zjawisku mixed content (tzw. treść mieszana). Kiedy treści znajdujące się na stronie internetowej są wywoływane zarówno za pomocą szyfrowanego protokołu i nieszyfrowanego połączenia, przeglądarki mogą informować użytkowników strony o tym, że połączenie jest niezabezpieczone, mimo że strona posiada certyfikat SSL.

SPIS TREŚCI

Niezabezpieczone połączenie

Pamiętaj, że po zainstalowaniu certyfikatu SSL na serwerze w home.pl, do jego poprawnego działania koniecznie jest wykonanie zmian po stronie serwisu WWW, dla którego szyfrowanie ma być aktywne.

  • Kliknij tutaj, jeśli posiadasz usługę eSklep i chcesz włączyć certyfikat SSL.
  • kliknij tutaj, jeśli strona WWW utworzona jest w innej aplikacji, np. CMS WordPress, Joomla

Czym jest mixed content (zawartość mieszana)?

Treści stron internetowych mogą być dostarczane za pośrednictwem szyfrowanego połączenia z protokołem HTTPS lub niezaszyfrowanego połączenia HTTP. Bezpieczną opcją jest oczywiście HTTPS – dzięki temu protokołowi dane przesyłane podczas transmisji są szyfrowane.

Na certyfikat SSL coraz częściej zwracają też uwagę użytkownicy, zwłaszcza, że przy wejściu na nieposiadającą go stronę, przeglądarki (np. Google Chrome) wyświetlają ostrzeżenie, że witryna ta jest niebezpieczna.

Co jednak w sytuacji, gdy na stronie jest zainstalowany certyfikat SSL, a mimo tego przeglądarka ostrzega, że strona jest niezabezpieczona? To znak, że mamy do czynienia z mixed content, czyli sytuacją, w której część treści na naszej stronie jest pobierana przy użyciu protokołu HTTP. Wówczas klikając w informację o niezabezpieczonej stronie na pasku adresu, będziemy widzieli informację, że certyfikat SSL jest ważny, ale połączenie nie jest w pełni bezpieczne.

Możliwe przyczyny przekreślonej kłódki w przeglądarce

  • Nie wszystkie elementy strony WWW (np. pliki graficzne, JavaScript, CSS) są przesyłane z tego samego (szyfrowanego) adresu URL.
  • Serwis korzysta z elementów (np. pliki graficzne, JavaScript, CSS), które są umieszczone na zewnętrznym serwerze. Należy pamiętać, że procesowi szyfrowania podlegają pliki, które są umieszczone na serwerze, gdzie certyfikat SSL jest zainstalowany.
  • Serwis korzysta z zewnętrznych serwisów reklamowych lub systemów statystyk (np. Google Analytics), w połączeniu niezaszyfrowanym.

Typy stron z treścią mieszaną (mixed content)

Elementy na stronach zawierających mixed content dzieli się na dwa typy, a kryterium podziału jest poziom zagrożenia dla użytkownika. Wyróżnia się:

Treści mieszane pasywne

Są tylko wyświetlane, w związku z czym potencjalne zagrożenie jest stosunkowo małe. W przypadku tego rodzaju treści, zawierająca je strona WWW może wyglądać jakby zawierała błędy lub była uszkodzona. Niemniej nie warto ignorować zagrożenia. W przypadku pasywnych treści mieszanych, osoba atakująca może np. przechwycić żądania http dotyczące obrazów na stronie WWW i zamienić je lub zastąpić. Brzmi niegroźnie? Takie działanie wystarczy, by użytkownikowi zostały przedstawione błędne informacje bądź by został skłoniony do podjęcia niezamierzonego działania.

Treści mieszane aktywne

W tym wypadku zagrożenie dla użytkownika jest duże, bo w grę wchodzi przesyłanie danych. Osoba atakująca stronę internetową może zmienić cokolwiek w jej zawartości. Jeśli zaś treści na stronie WWW zostałyby podmienione, użytkownik mógłby np. być kierowany do zainfekowanych stron bądź paść ofiarą phishingu.

Treści uznawane za pasywne Treści uznawane za aktywne
Pliki graficzne
Pliki audio
Pliki wideo
Skrypty
Arkusze stylów
Elementy iframe
Inne kody, które przeglądarka może pobrać i wykonać

Jak sprawdzić, czy strona ma problem z mixed content?

Ostrzeżenia o zawartości mieszanej na stronie można znaleźć w narzędziach dla developerów w przeglądarce.

  1. W zakładce z otwartą stroną, którą chcesz sprawdzić pod kątem mixed content wciśnij Ctrl + Shift + I. Ten skrót działa w najpopularniejszych przeglądarkach: Google Chrome, Mozilla Firefox, Microsoft Edge.
  2. Znajdź zakładkę Console i kliknij w nią
    Narzędzia dla deweloperów - Console
  3. Jeśli na stronie znajduje się zawartość mieszana pasywna, pojawiają się podświetlone na żółto ostrzeżenia. Gdy przeglądarka jest w stanie znaleźć zawartość pod adresem URL, automatycznie aktualizuje żądanie do HTTPS.
    Mixed Content - ostrzeżenia w przypadku zawartości mieszanej pasywnej
  4. Podświetlone na czerwono ostrzeżenia odnoszą się do aktywnej zawartości mieszanej. Takie elementy są blokowane przez przeglądarki. Każdy komunikat wskazuje, jakiego elementu zawartości dotyczy problem, dzięki czemu można łatwo namierzyć problematyczne treści wymagające naprawy.
    Mixed Content - ostrzeżenia w przypadku zawartości mieszanej aktywnej
Uwaga! Ostrzeżenia o zawartości mieszanej w narzędziach dla developerów są wyświetlane tylko dla aktualnie wyświetlanej strony. Oznacza to, że by namierzyć wszystkie błędy, musisz przeprowadzić powyższe czynności osobno dla każdego adresu w witrynie.

W przypadku dużych serwisów, wykrywanie i naprawa mixed content w taki sposób może być trudna i czasochłonna. Dla ułatwienia można skorzystać z narzędzi takich jak np. HTTPSChecker.

Rozwiązanie najczęstszych błędów z niedziałającym certyfikatem SSL

  • Jeżeli odwołania do tych elementów rozpoczynają się od „http://” zmień w źródle strony odwołania rozpoczynające się od „http://” na „https://”.
    Jeżeli zewnętrzny serwer, na którym znajdują się pliki strony, nie będzie posiadał poprawnego i ważnego certyfikatu SSL, to ostrzeżenie będzie nadal widoczne. Pliki z zewnętrznego serwera będą dalej wyświetlane w postaci niezaszyfrowanej na Twojej stronie WWW.
  • Najlepszym rozwiązaniem jest przeniesienie tych elementów z zewnętrznego serwera na Twój serwer, gdzie jest zainstalowany certyfikat SSL.
    Możliwe jest przeniesienie certyfikatu SSL na inny serwer. Certyfikat nie jest ściśle powiązany z danym adresem IP (nie zawiera w sobie takich informacji), co pozwala na jego instalację na dowolnym serwerze, czyli pod dowolnym adresem IP.
Ważne! Certyfikat SSL wpływa na wiarygodność Twojej witryny, umożliwiając internaucie sprawdzanie danych Twojej firmy. Sprawdź, jak krok po kroku sprawdzić dane podmiotu z przypisanym certyfikatem SSL.
  • Czy artykuł był pomocny ?
  • Tak   Nie