★Google Chrome、全ユーザーに対しHTTPからHTTPSへ自動変更 | TECH+(テックプラス)
GoogleがすべてのChromeユーザーに対し、HTTPリクエストを自動的にHTTPSリクエストに変更する「HTTPSアップグレード」を開始したと報じた。Googleはこれまでにも同機能を限定的に展開していたが、2023年10月16日に安定版のすべてのユーザーが対象になったという。
★ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
今時のスマホなどはURLを意識する面、だいぶなくなってきているとは思うのですがWebブラウザでいわゆるホームページにアクセスする際、アドレスでアクセスするわけですけども例えば当サイトの場合は
http://www.yuumediatown.com
でアクセスが出来ます。今となっては先日の
★【@YMCのVPSから】www.yuumediatown.com及びwww.zoidstown.comサーバー移転時の新サーバー検討の話【mixhostの共有レンタルサーバーへ】(2023年9月 2日(土曜日))
サーバー更新で
https://www.yuumediatown.com
でもアクセスできるようになりました。というか前のサーバーでもできましたがSSLの証明書がオレオレ証明書でしたしコンテンツの保存先もhttpとhttpsでは別場所だったため、httpとhttpsでは同じコンテンツは表示されません(これはサーバーの設定の方の話でございまして、前のサーバー設定でも両方のフォルダに同じコンテンツ入れりゃ、httpとhttpsで同じコンテンツ表示はできましたけれども)。今回のサーバーは同じフォルダに入れているものhttp、https両方から参照されます。
そして今のサーバーでは「強制HTTPSリダイレクト」の機能も設定できますのでhttpでアクセスしてきた方を強制的にhttpsのアドレスでのアクセスにリダイレクトはできるわけです。
なのでぶっちゃけ、今のサイトであればhttp、httpsどちらのアドレスでアクセスも出来るのですがメインはhttpにしております。従来からの流れで何か重要な情報を扱うわけでもないですし個人サイトですし。ただ今回のでWebブラウザとしてのシェアが高いGoogle Chromeがhttp→https強制返還みたいな事をし初めまして確かにGoogleのSSLの方針的なのは知ってますし、商業サイトなら間違いなくhttpsでしょうけど個人サイトでそこまでやられてもなぁ・・・・と。
なので例えばiPhoneのSafari 17で新旧の当ブログにアクセスすると
ちゃんと表示されます。しかし
Android版Chrome/118.0.0.0で同じ事をすると強制的にhttpsのアドレスでアクセスされ
表示が崩れてしまいます。
なので勝手にhttpsでアクセスした上、307リダイレクトで強制しているのでしょうけどレイアウトが崩れるという事はCSSファイルが読み込まれていませんねぇ。
「Mixed Content: The page at '
blog01/:1 Mixed Content: The page at 'https://www.yuumediatown.com/diary/blog01/' was loaded over HTTPS, but requested an insecure element 'http://www.yuumediatown.com/diary/blog01/archives/images/20231103_006.png'. This request was automatically upgraded to HTTPS, For more information see https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html」
Google ChromeのGoogleデベロッパーツールでの問題部分を見て見るとMixed Contentという事でhttpとhttpsのコンテンツ混在してますよ、httpのは読み込めませんよ、との警告でエラー。そりゃそうやろがい!httpのURLで指定してある他の画像やその他コンテンツを307でリダイレクトするなら.cssもしてくれよw
パソコンの方のWebブラウザで検証すると
・Firefox 119(Windows、Mac双方とも)
└https強制リダイレクトなし
・マイクロソフト Edge 119(Windows)
└https強制リダイレクトなし
・Google Chrome 119
└強制リダイレクトあり
ですねぇ。・・・といってもPC版はアドレス打ち直すとhttpのアドレスで表示してくれるな・・・・・
あと同じサイト内でも
http://www.yuumediatown.com
トップページはhttpでアクセスしてくれるのにブログに行くと
https://www.yuumediatown.com/diary/blog01/
https://www.yuumediatown.com/diary/mt001/
強制的にhttpsにリダイレクトされるのよね。なんでや・・・・特にブログだけHSTSとかの設定はしてないはずだし・・・・
.htaccessで
Strict-Transport-Security: max-age=0
も設定してみてるけど効果なさそう。
★HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする - ラボラジアン
アドレスバーに
chrome://net-internals/#hsts
打ち込んでブラウザの方の設定見ても特に私のサイトのドメインは登録されてないし・・・・
GoogleはHTTPSアップグレードによってこれらサイトがユーザーに与える影響は不明としつつ、サイト管理者は「opt-outヘッダ」により望まないHTTPSアップグレードを防止できるとしている。
その細かい説明、どこにあんのやろ・・・・ググってもすぐに出てこないし・・・・
そして強制httpsリダイレクトによりアクセス解析でも
httpとhttpsで同一エントリが別ページ扱いに。
あれ?でもそのアクセス解析のベースの
方は一緒くたになってないな。解析結果の表示の部分でそうなっとるのかな?
いやまぁ、今時telnetやFTPとか使わなくなってきてるしhttpでも・・・・というのはわかるんですが・・・・・