2024.01.26
STAFF BLOG
スタッフブログ
TECHNICAL
テクログ
Chromeで「http」で始まるURLを開くと「https」に変更されてしまう
Chromeで「http」で始まるURLを開くと表示が崩れたり、ボタンが反応しなかったりすることがありました。
原因は サイトの不具合ではなくChromeによって「http」 が「https」に変更されて開かれていることでした。
「https」に非対応な「http」サイトではこのような問題が生じるため不便に感じます。
Google Chrome、全ユーザーに対しHTTPからHTTPSへ自動変更
https://news.mynavi.jp/techplus/article/20231031-2807397/
記事によると、2023年10月16日に安定版のすべてのユーザーが対象で
HTTPリクエストを自動的にHTTPSリクエストに変更する「HTTPSアップグレード」を開始したのが原因のようです。
Googleによるとサイト管理者は「opt-outヘッダ」により望まないHTTPSアップグレードを防止できるそうです。
Chromeはなぜこのような対応がされたのか
「http」と「https」の違い
https://jp.norton.com/blog/emerging-threats/what-is-https
上記記事を参照
HTTP(Hyper Text Transfer Protocol)と、
HTTPS(Hypertext Transfer Protocol Secure)は
ホームページを見るときにどんな通信手段を用いるのかというルール
URLの始まりが「https」だと通信内容が暗号化される
URLの始まりが 「http」だと暗号化しないで通信する
郵便物にたとえると、HTTPは「はがき」で、HTTPSが「封書」
HTTPでやり取りする情報ははがきのように第三者が内容を見たり、勝手に書き加えたりすることができる
HTTPSの場合は暗号化されて封書のように中身が受け手以外には分からないようになるため安全
➡インターネット詐欺被害にあってしまうリスクを減らすことができる
他の主要なインターネットブラウザはどうか
2024年1月26日現在
・Microsoft EdgeもChromeと同様に「http」が「https」に自動変更されました。
・Firefoxでは「http」のまま閲覧することができました。
Chrome や Microsoft Edge で「http」のままサイトを閲覧する方法
悪意のあるサイト以外にも、古くからある行政サイトや個人のホームページ、そもそもBasic認証などで閲覧者が制限されていて「https」である必要が無い場合など、まだ「http」で始まるサイトはあります。
それを「http」のまま Chrome や Microsoft Edge で閲覧する方法を検証しました。
■Basic認証とサイトログインが不要な「http」サイトの場合
・アドレスバーに「http」から始まるURLを直接入力(ペースト)して開けば「http」を維持する
(「http」サイトをブックマークやリンク押下で遷移すると「https」に変更される)
■Basic認証とサイトログインが必要な「http」サイトの場合
①アドレスバーのURLとBasic認証画面は「https」に変更されてしまうが、
そのままユーザー名とパスワードを入力後に「ログイン」押下
(アドレスバーのURLとBasic認証のダイアログに表示するURLが「https」になっている)
② アドレスバーのURLを「http」にして開いて、再度Basic認証で ユーザー名とパスワードを入力後に
「ログイン」押下
(アドレスバーのURLとBasic認証のダイアログに表示するURLが「http」になっている)
③アドレスバーのURLが「http」になっているので、ログイン情報を入力してサイトにログインする
■「https」でサイトログイン後に「http」にしたい場合
①サイトログアウト後にアドレスバーのURLを「http」にして開いて再度Basic認証でユーザー名とパスワードを入力後に「ログイン」押下
②アドレスバーのURLが「http」になっているので、ログイン情報を入力してサイトにログインする
最後に
Chrome や Microsoft Edge で閲覧履歴が残る状態で「http」のまま開く方法を行うと、何もしなくても「http」のまま開けるようになります。
ちょうど検証のタイミングで起こったためアップデートで修正が入ったのかと焦りました。
閲覧履歴を削除することでブラウザのデフォルト動作に戻すことができ、無事に検証できました。
(通常ブラウザに残った閲覧履歴もシークレットモードに影響するようです)
何もしなくても「http」のまま開けることに慣れると、閲覧履歴が消去されて忘れた頃に
「http → https」が再発して困惑するかもしれません。