Case study: zawartość mieszana po wprowadzeniu SSL

Szacunkowy czas czytania: 2 minuty

 

W obliczu zbliżającego się RODO wiele osób wprowadza u siebie na stronach certyfikaty SSL. Jest to oczywiście słuszne i potrzebne. Tak jak pisałam we wpisie „Czy moja strona potrzebuje SSL?”, to nie tylko kwestia szyfrowania danych, o którym wspomina rozporządzenie RODO, ale także nadchodzących zmian zapowiadanych przez Google Chrome.

Ostatnio zauważyłam sporo zapytań o tzw. zawartość mieszaną (mixed content) na różnych WordPressowych forach i grupach. Jest to najczęściej sytuacja, gdy właściciel strony kupuje certyfikat SSL u hostingodawcy/rejestratora domeny, włącza go i… na tym kończy procedurę. Część zasobów, głównie media i skrypty, nadal są ładowane w takim przypadku przez niezabezpieczone połączenie (HTTP). I wtedy właśnie w przeglądarce pojawia się ostrzeżenie o zawartości mieszanej. Nasza strona już działa przez HTTPS, ale na próżno szukać zielonej kłódki przy jej adresie.

Zwykle problem można rozwiązać szybko i skutecznie wtyczką do wdrażania SSL. Sama używam Really Simple SSL. Jest to wtyczka ciągle rozwijana, ma ponad milion instalacji i jak dotąd mnie nie zawiodła. Możemy również przystosować stronę ręcznie: zmienić adres strony z http:// na https:// w menu Ustawienia –> Ogólne, zmienić wszelkie odnośniki http:// w bazie danych oraz ustawić przekierowanie z http:// na https:// w pliku .htaccess.

Najczęściej opisane powyżej kroki gwarantują skuteczne pozbycie się mixed content. Natomiast dziś, pomimo, że zrobiłam wszystko „jak zawsze”, kłódka się nie pokazała. W takim przypadku polecam przeskanowanie strony pod kątem źródła niezabezpieczonych zasobów. Przykładowo strona Why No Padlock (dosł. Dlaczego nie ma kłódki) przeskanuje naszą witrynę pod kątem połączenia SSL oraz zawartości mieszanej, wskazując dokładnie gdzie problem występuje.

W moim przypadku problemem były hardlinki wpisane w pliku CSS, w dwóch miejscach przy właściwości background. Po zmienieniu w tych plikach http:// na https:// problem zniknął. Przy kolejnym skanie na stronie Why No Padlock, test został zaliczony.

Edit: W celu namierzenia kłopotliwych zasobów, które ładują się przez HTTP, można użyć też zwykłej konsoli w przeglądarce. Mixed content pokazywany jest jako ostrzeżenie (warning) – na żółto. Jeśli nie chcemy używać wtyczek, to z powodzeniem możemy sami skorygować kontent mieszany, właśnie na postawie ostrzeżeń konsoli.