Google Chrome gaat in januari 2020 beginnen met het standaard blokkeren van gemengde content om https browsen veiliger te maken.
Wat is gemengde content?
Gemengde content verwijst naar https pagina’s die bronnen (afbeeldingen, video’s, stylesheets en scripts) over http laden. In dat geval wordt zowel http als https content op dezelfde pagina geladen, terwijl het initiële verzoek veilig over https ging. Veel moderne browsers geven een waarschuwing weer als je op een site met gemengde content terechtkomt. Zo weet een gebruiker dat de website, ondanks de ssl, onveilige bronnen bevat.
Volgens het Google Security Team spenderen Chrome gebruikers nu meer dan 90% van hun ‘browse-tijd’ op https website. Het initiatief om mixed content te blokkeren is bedoeld om de onveilige ‘gaten’ in SSL implementaties te dichten.
Planning
De blokkade-functie wordt geleidelijk uitgerold en zal van start gaan met Chrome 79, dat gepland staat voor december 2019. De browser blokkeert nu al gemengde scripts en iframes, maar Chrome 79 zal een nieuwe instelling toevoegen. Gebruikers kunnen de blokkade-functie dan per website aan- of uitschakelen. In Chrome 80, dat in januari 2020 zal verschijnen, zullen gemengde audio en video bronnen een auto-upgrade naar https krijgen. Als ze over https niet laden, zal Chrome ze automatisch blokkeren. Gemengde afbeeldingen zullen nog steeds geladen worden, maar Chrome zal wel een ‘Niet veilig’ waarschuwing weergeven in de omnibox naast de URL. De laatste fase staat gepland voor februari 2020. Met Chrome 81 zullen ook gemengde afbeeldingen een auto-upgrade naar https krijgen. Laden ze dan niet, dan zal Chrome deze afbeeldingen blokkeren.
Gemengde content op je WordPress site
WordPress gebruikers hebben gelukkig voldoende tijd om ervoor te zorgen dat al hun bronnen over https laden. Op WordPress.org staan verschillende plugins die kunnen helpen om dit soort problemen op te lossen. Zo heb je bijvoorbeeld Really Simple SSL, dat op meer dan 3 miljoen sites wordt gebruikt. Deze plugin heeft een ingebouwde mixed content scan die laat zien of je site gemengde content heeft. Er is ook een ‘mixed content fixer’ voor de backend. Andere populaire plugins zoals SSL Mixed Content Fix (20k actieve installaties) en SSL Insecure Content Fixer (300k actieve installaties). Deze plugins zijn speciaal ontwikkeld om problemen met gemengde content te verhelpen. Ze bevatten zelfs tools om andere geïnstalleerde plugins compatibel te maken met https.
Lees ook: WordPress https instellen voor jouw website
