Нагадування: Google автоматично повертається до HTTPS за умовчанням завтра

Нагадування: Google автоматично повертається до HTTPS за умовчанням завтра

Починаючи з завтрашнього дня Google Chrome почне попереджати користувачів, які відвідують незашифровані веб-сайти, що їх трафік потрапляє в небезпечне місце. Це перехід, який ми вже кілька разів розглядали вже цього року, і хоча це може здатися незначним зрушенням, отримувати новини людям, щоб їх не вибухнув перехід від "безпечного" обміну повідомленнями до "небезпечних" повідомлень Важливо - особливо, оскільки деякі сайти, які наразі не розгортають HTTPS, безсумнівно, потребують деякого часу, щоб це зробити.

Сьогодні браузери повідомляють користувачам про те, що сайти захищені логотипом зеленого блокування. Післязавтра користувачі скажуть про те, що сайти є небезпечними, а не безпечними, і повідомляються різними повідомленнями від постачальників браузерів. Зміни показані нижче:

Нагадування: Google автоматично повертається до HTTPS за умовчанням завтра

Дослідник з безпеки Трой Хант працює над сайтом WhyNohttps.com, який він має намір запустити на цьому тижні. Вона планує зібрати список найбільших веб-сайтів, які не підтримують HTTPS ще, сподіваючись підкинути їх на прийняття більш безпечного стандарту. CloudFlare зазначив, що, незважаючи на більш поширене застосування в останні місяці, більшість популярних сайтів Top 1M в Інтернеті все ще залишаються незахищеними і за замовчуванням не пропонують HTTPS.

Друзі, я після певної підтримки: @Scott_Helme, і я роблю невеликий проект із сайтом, який називається https://t.co/Y4GlsInvu2, який буде збігатися з виходом Chrome 68 наступного тижня. У ньому будуть перелічені найбільші веб-сайти світу, які за замовчуванням не виконують HTTPS.

- Трой Хант (@troyhunt) 20 липня 2018 року

Для тих з вас, хто не знає, розширення "https" HTTP означає, що веб-сайт захищений за допомогою транспортного шару безпеки або шифрування TLS. HTTPS захищає від атак "людина в середині", підслуховує і вловлює дані веб-сайту. Це функціональність, яку Lenovo зламав скандалом Superfish кілька років тому, і, як правило, вважається основою для всього питання безпеки браузера. І хоча не кожен веб-сайт буквально потребує HTTPS, наявність вільних сертифікатів шифрування від таких груп, як LetsEncrypt (некомерційна організація, створена EFF), спрощує прийняття стандарту безпеки, не сплачуючи достатньо грошей, щоб це зробити.

Chrome - це перший веб-переглядач, який виконує цей крок за допомогою протоколу HTTPS, але очікується, що MS та Mozilla виконають обидва варіанти. Веб-сторінка Google про уникнення рейтингу "Незахищена" в Chrome доступна тут. Хоча вона трохи датована (деякі посилання на сторінці починаються з 2016 року), на ньому, як видається, є деяка корисна інформація про те, щоб уникнути незахищених рейтингів, включаючи необхідність використовувати нативний HTTPS, а не вбудовувати вхідну рамку HTTPS на сторінку HTTP. Як повідомляє сайт: "Нарешті, Chrome відображатиме попередження" Не захищене "для всіх сторінок, які надсилаються через HTTP, незалежно від того, чи містить сторінка чутливі поля введення. Навіть якщо ви приймаєте одну з націлених вище наведених вище рішень, ви повинні планувати перенести ваш сайт на використання HTTPS для всіх сторінок. "