Как исправить ошибку SSL Mixed Content Error

Шифрование веб-сайтов является практически обязательным в современном Интернете. Если Вы не зашифруете свой сайт, браузеры пометят его как небезопасный. У Вас может быть самый оригинальный контент в Интернете, но без SSL Ваши посетители увидят вместо него раздражающее предупреждение о безопасности.

SSL-сертификаты стали неотъемлемой частью создания сайтов, но управление ими остается довольно сложной задачей для менее подкованных в технике пользователей. Установка коммерческих сертификатов может вызвать некоторые затруднения у неопытных людей, и никто не может их в этом винить.

Почти все серверы и почтовые клиенты имеют специальные инструкции по управлению SSL, и если Вы не знакомы с их приборными панелями или командными строками, загрузка Ваших сертификатов в правильной последовательности может оказаться непростой задачей.

Что еще более раздражает, так это ошибки SSL-соединения, возникающие после того, как Вы уже установили сертификат. Одна из самых распространенных проблем SSL – это ошибка смешанного содержимого. В этой статье мы рассмотрим, что такое смешанный контент и как исправить его вручную или с помощью инструментов SSL. Давайте начнем!

Что такое смешанный контент?

Смешанный контент появляется на сайте, когда исходный HTML загружается по зашифрованному HTTPS-соединению, а другие ресурсы, такие как видео, изображения, скрипты, таблицы стилей, загружаются по незашифрованному HTTP-соединению. Когда на одной и той же странице выполняются запросы HTTP и HTTPS, браузеры могут заблокировать содержимое или вывести предупреждение о безопасности, чтобы предупредить пользователей о том, что данная страница содержит небезопасные ресурсы.

Существует два типа смешанного контента: пассивный и активный.

1. Пассивное смешанное содержание

Пассивный смешанный контент относится ко всем ресурсам, которые не взаимодействуют с Вашей страницей напрямую. Это могут быть Ваши изображения, видео или аудиофайлы. Если хакеры используют атаку “человек посередине” и перехватывают Ваши HTTP-запросы, они могут изменить Ваши изображения, заменить продукты на оскорбительное содержание или рекламу, или поменять местами кнопки сохранения и удаления, заставляя пользователей совершать непредусмотренные действия.

Даже если злоумышленники не изменяют Ваш контент, они все равно могут отслеживать Ваших пользователей и их действия с помощью смешанных запросов к контенту. Злоумышленники могут видеть страницы и продукты, которые посещают пользователи, на основе небезопасных ресурсов, загружаемых браузерами. Вот несколько примеров передачи смешанного содержимого.

2. Активное смешанное содержание

Активный смешанный контент еще опаснее пассивного смешанного контента, потому что он взаимодействует со страницей в целом и дает злоумышленникам свободу делать с ним все, что угодно. Активный смешанный контент включает в себя таблицы стилей, скрипты, флэш-ресурсы и другой код, который загружается браузерами. Если злоумышленники перехватят активный смешанный контент, они получат полный доступ и контроль над Вашим сайтом. В худшем случае они украдут учетные данные и пароли пользователей или перенаправят их на другой сайт. Из-за серьезности угроз, связанных с активным смешанным содержимым, многие браузеры блокируют его по умолчанию, чтобы защитить пользователей. Но важно помнить, что Ваши посетители могут использовать старые версии браузеров или браузеры, которые вообще не блокируют активный смешанный контент.

Ребята из PULNO, службы SEO-аудита и анализа веб-сайтов, изучили более 37 миллионов страниц и обнаружили, что более 2 миллионов страниц содержат ресурсы, которые не загружаются по HTTPS. Из всех проанализированных хостов 4,9% имели смешанное содержание. Среди них у 66,5% были проблемы с изображениями, а у 17,1% – с элементами JavaScript.

Как Вы видите, следующим шагом после установки SSL будет обеспечение загрузки всех Ваших изображений и кода по HTTPS. К сожалению, многие веб-мастера упускают этот аспект из виду и в итоге гонятся за неоднозначными ошибками, уступая посетителей конкурентам. Ниже мы расскажем Вам, как исправить смешанный контент как можно скорее, чтобы Ваш сайт оставался видимым для всех.

Как исправить смешанный контент вручную?

Первое, что Вам следует сделать, если Вы встретили сообщение Not Secure в браузере, – это проверить потенциальное смешанное содержимое.

Вот как это сделать в Chrome:

  1. Щелкните правой кнопкой мыши в любом месте страницы, которая не загружается по HTTPS
  2. Из предложенных вариантов выберите Inspect Element
  3. Из доступных вкладок выберите Консоль

Если на Вашем сайте есть смешанное содержимое, Консоль отобразит предупреждения о смешанном содержимом и покажет Вам расположение HTTP-файла. Пассивный смешанный контент будет отображаться рядом с желтым предупреждением, а активный смешанный контент – рядом с красным.

Если в список этих ошибок и предупреждений попало всего несколько URL-адресов, Вы можете исправить их вручную в три быстрых шага:

Шаг 1

Убедитесь, что URL доступен по протоколу HTTPS. Откройте новую вкладку в браузере и введите URL в адресную строку, изменив http:// на https://.

Если изображение загружается без ошибок как по HTTP, так и по HTTPS, отлично! Перейдите к следующему шагу.

Примечание: Если появляется предупреждение о сертификате, значит, изображение недоступно в безопасном режиме. Это может произойти с изображениями, размещенными на внешних сервисах. В этом случае Вы можете либо скачать изображение и загрузить его на свой хостинг, если это разрешено законом, либо вообще удалить его со своего сайта. Как правило, Вы всегда должны размещать свои изображения на своем сервере. Таким образом, у Вас будет полный контроль над ними.

Шаг 2

Измените URL с http:// на https:/, сохраните исходный файл и при необходимости переразместите обновленный файл.

Шаг 3

Откройте страницу, на которой Вы обнаружили ошибку смешанного содержимого, и дважды проверьте, что ошибка больше не появляется.

Как автоматически исправить смешанное содержимое?

Заменить парочку легко, но что делать, если у Вас десятки или даже сотни ссылок с разным содержанием. Есть ли способ исправить их автоматически? Конечно, это так. Большинство систем CMS должны иметь плагины, готовые помочь Вам в решении этого вопроса. WordPress, например, не испытывает недостатка в вариантах, среди которых популярностью пользуется плагин Really Simple SSL.

Если Вы более продвинутый пользователь, Вы можете использовать этот удобный скрипт для поиска в Вашей базе данных и массовой замены HTTP URL. Вам понадобится доступ к FTP, чтобы загрузить скрипт. Пожалуйста, будьте осторожны, так как при неправильном использовании это может привести к поломке Вашего сайта.

Следуйте этим инструкциям по безопасности при использовании скрипта:

  1. Переименуйте корневую папку скрипта, чтобы хакеры не смогли легко ее найти.
  2. Создайте резервную копию сайта и базы данных перед использованием
  3. Всегда перепроверяйте текст и делайте Dry Run (тренировку) перед Live Run.
  4. Удалите скрипт после того, как он выполнил свою работу

Как обнаружить и предотвратить смешанный контент?

После того, как Вы включили HTTP, Вам следует проверить Ваш SSL-сертификат на наличие ошибок и уязвимостей. Множество инструментов могут просканировать Ваш сайт и обнаружить потенциальные ошибки SSL-соединения, включая смешанное содержимое.

JitBit Scanner – это бесплатный инструмент, который просматривает весь Ваш сайт и ищет небезопасные ресурсы. Обратите внимание, что с помощью этого инструмента можно отсканировать только до 400 страниц.

Альтернативный вариант – Mixed Content Scan, сценарий CLI (интерфейс командной строки), который просматривает и сканирует сайты с поддержкой HTTPS на предмет смешанного содержимого.

Еще один способ автоматического исправления смешанного содержимого – директива upgrade-insecure-requests CSP (content security policy). Эта директива указывает браузеру обновлять небезопасные URL-адреса перед выполнением сетевых запросов.

Вы можете включить это поведение, добавив следующий фрагмент кода мета-тега в HTML-секцию документов.

Имейте в виду, что если HTTP-ресурс недоступен по защищенному соединению, браузеры не смогут обновить и загрузить его. Однако посетители по-прежнему смогут заходить на Вашу страницу.

Заключительные мысли

Обеспечение безопасности Вашего сайта крайне важно в условиях современного онлайнового ландшафта. Поскольку уровень шифрования в Интернете превысил показатель в 90% в сервисах Google и Firefox, пользователи мгновенно обнаружат небезопасный сайт и усомнятся в его надежности. Вы же не хотите, чтобы Ваш сайт производил неправильное впечатление из-за легко предотвратимой ошибки смешанного содержания. Регулярно проверяйте свой SSL-сертификат и обновляйте все свои ссылки, как только перейдете на HTTPS. Безопасный сайт – это безопасный сайт как для Ваших посетителей, так и для бизнеса.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.