Google heeft in een blogpost bekend gemaakt dat vanaf eind dit jaar een begin gemaakt wordt met het geleidelijk, in stappen, blokkeren van onbeveiligde content op https beveiligde websites. Het betreft http-links van zogenoemde mixed content bronnen. Die content wordt niet versleuteld en vormt dus een beveiligingsrisico voor bezoekers van de betreffende https-sites.
Browsers blokkeren standaard veel soorten gemengde inhoud, zoals scripts en iframes, maar afbeeldingen, audio en video mogen nog steeds worden geladen. In december, wanneer Chrome 79 uitgerold wordt, start Google met het geleidelijk blokkeren van onbeveiligde content-bronnen. Tijdens de overgangsfase, om sites die nog niet volledig beschikken over https-bronnen, zal Chrome alle http-bronnen standaard omzetten naar https zodat de websites wel blijven functioneren.
Stapsgewijze uitfasering
Google zal het blokkeren van mixed-content in de loop van komend jaar gefaseerd invoeren. In haar blog beschrijft Google de stappen die genomen zullen worden.
- In Chrome 79 (december 2019) wordt de nieuwe instelling om gemengde inhoud op specifieke sites te deblokkeren toegevoegd. Deze instelling is van toepassing op gemengde scripts, iframes en andere soorten inhoud die Chrome momenteel standaard blokkeert. Gebruikers kunnen deze instelling wijzigen via het vergrendelingspictogram op een https-pagina.
- In Chrome 80 (januari 2020) worden gemengde audio- en videobronnen automatisch geüpgraded naar https. Wanneer Chrome deze bronnen niet via https kan laden, worden ze standaard geblokkeerd. Wanneer afbeeldingen via non-https bronnen geladen worden dan verschijnt wel het 'open slotje', ten teken dat de site niet-beveiligde content bevat, in de statusbalk.
- In Chrome 81 (februari 2020) worden gemengde afbeeldingen automatisch gegroepeerd naar https: // en Chrome blokkeert ze standaard als ze niet worden geladen via https.
