Kiedy strona internetowa jest zabezpieczona certyfikatem SSL, przy jej wyświetlaniu w przeglądarce nie powinna pojawiać się przekreślona kłódka. Jeśli jednak tak się dzieje i mimo zainstalowanego SSL pokazuje się informacja, że połączenie nie jest bezpieczne, to znak, że strona może mieć kłopot z mixed content, czyli mieszaną zawartością. Namierzenie i rozwiązanie problemu powinno sprawić, że ikona przekreślonej kłódki zniknie.
SPIS TREŚCI
- Dlaczego w przeglądarce widzę przekreśloną kłódkę, choć strona ma certyfikat SSL?
- Co to jest mixed content?
- Czy moja strona ma problem z mixed content?
- Jak naprawić błędy powodujące problemy z certyfikatem SSL?
Dlaczego w przeglądarce widzę przekreśloną kłódkę, choć strona ma certyfikat SSL?
Jeśli Twoja strona jest zabezpieczona certyfikatem SSL, to dane przesyłane między użytkownikiem a serwerem, będą szyfrowane. Stosowanie certyfikatu SSL to dziś właściwie standard – również użytkownicy zwracają uwagę na to, czy przy adresie strony pojawia się kłódka, a jeśli tak, postrzegają stronę jako bardziej wiarygodną.
Jeśli mimo tego, że stronę zabezpieczono certyfikatem SSL, w przeglądarce obok jej adresu pojawia się przekreślona kłódka, możliwych powodów jest kilka. Najczęściej zdarza się, że:
- strona internetowa korzysta z zewnętrznych statystyk lub serwisów reklamowych w połączeniu niezaszyfrowanym,
- część elementów na stronie nie jest przesyłana z tego samego, szyfrowanego adresu URL,
- na stronie znajdują się elementy umieszczone na zewnętrznym serwerze.
Co to jest mixed content?
Z mixed content (zawartością mieszaną) mamy do czynienia, kiedy mimo tego, że strona jest zabezpieczona certyfikatem SSL, to część jej zawartości jest pobierana przy użyciu nieszyfrowanego protokołu HTTP.
W takiej sytuacji należy namierzyć problematyczne elementy i wykonać niezbędne działania, dzięki którym cała zawartość strony będzie korzystać z szyfrowanego połączenia.
Ze względu na poziom zagrożenia dla użytkownika, wyróżnia się dwa rodzaje elementów na stronach zawierających mixed content:
- Treści mieszane pasywne – to wszystkie elementy, które są jedynie wyświetlane, przez co ryzyko dla użytkownika jest nieduże. Jeśli strona zawiera takie treści, może wyglądać jakby zawierała błędy. Za pasywne treści mieszane uznaje się pliki graficzne, audio i wideo.
Pasywne treści mieszane warto naprawić nie tylko po to, żeby strona wyświetlała się prawidłowo, a przy adresie w przeglądarce pojawiła się kłódka. Trzeba pamiętać, że mogą one stanowić zagrożenie dla użytkownika, choć nieduże. W jaki sposób? Przykładowo: użytkownik może na stronie zobaczyć nieprawdziwe informacje, jeśli haker, zamieni lub zastąpi grafiki na stronie, przechwytując wcześniej dotyczące ich żądania http. - Treści mieszane aktywne – w wypadku tych elementów w grę wchodzi przesyłanie danych. Za aktywne treści mieszane uznaje się skrypty, elementy iframe, arkusze stylów i inne kody, które przeglądarka może pobrać i wykonać. W przypadku takich treści, haker może zmienić cokolwiek w zawartości strony, zatem ryzyko dla użytkownika jest już duże (może on np. paść ofiarą phishingu).
Czy moja strona ma problem z mixed content?
Jeżeli Twoja strona jest chroniona certyfikatem SSL, a mimo tego w przeglądarce obok jej adresu wyświetla się przekreślona kłódka, możesz w prosty sposób potwierdzić problem z mixed content i od razu namierzyć te elementy na stronie, które są przesyłane przy użyciu nieszyfrowanego protokołu HTTP.
Do szukania źródeł problemu wystarczą narzędzia dla developerów w przeglądarce internetowej (np. Mozilla Firefox, Google Chrome, Microsoft Edge).
- Otwórz stronę internetową w przeglądarce, a następnie wciśnij Ctrl + Shift + I (skrót zadziała w wyżej wymienionych przeglądarkach).
- W wyświetlonym panelu przejdź do zakładki Console.
- Jeśli strona ma problem z mixed content, zobaczysz w tym miejscu ostrzeżenia.
Każdy punkt na liście z ostrzeżeniami zawiera informację o tym, który dokładnie element na stronie sprawia problemy. Dzięki temu od razu widać, czym trzeba się zająć, by usunąć mixed content ze strony.
O ile to możliwe dla małych stron, w przypadku rozbudowanych serwisów lepiej skorzystać z narzędzi, które usprawnią namierzanie problemów z mixed content na wszystkich podstronach. Może to być np. HTTPSChecker.
Jak naprawić błędy powodujące problemy z certyfikatem SSL?
Kiedy wiesz już, w których miejscach na swojej stronie masz problem z mixed content, pora go rozwiązać.
- Jeżeli problematyczne elementy są umieszczone na zewnętrznym serwerze – najlepiej będzie przenieść je na Twój serwer, gdzie jest zainstalowany certyfikat SSL.
- Jeżeli odnośniki do problematycznych elementów rozpoczynają się od „http://”, zmień je na „https://” (w przypadku WordPressa możesz skorzystać w tym celu z wtyczki Velvet Blues Update URLs).