Pull to refresh
165.28

Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно

Reading time 2 min
Views 37K


Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?

Вот как разработчики объясняют это в официальном блоге:
«Пользователи должны ожидать, что веб безопасен по умолчанию, а их предупредят при возникновении проблемы. Поскольку скоро все страницы HTTP будут отмечены как «незащищённые», мы делаем шаг вперёд и удаляем позитивные индикаторы безопасности, так что неотмеченное состояние по умолчанию становится безопасным».
Если задуматься, то это впечатляющая смена парадигмы. Судите сами: раньше обычными считались сайты HTTP, а защищёнными — сайты HTTPS. Теперь индикаторы сдвигаются на ступеньку вверх. Обычными становятся сайты HTTPS, а защищённых нет вообще, потому что все обычные сайты считаются защищёнными по умолчанию! Если сайт не защищён сертификатом TLS, то он не не обычный — и заслуживает отдельной индикации как незащищённый!

То есть защита сайта и шифрование трафика признаются нормой.

С октября 2018 года (версия Chrome 70) браузер начнёт ещё более явно сигнализировать пользователям о незащищённых сайтах HTTP: серый индикатор станет изменяться на красный, если пользователь попробует ввести данные на веб-странице без шифрования трафика.



С точки зрения восприятия пользователями это важное изменение интерфейса. Исследования показали, что пользователи не воспринимают отсутствие зелёной иконки с замочком «Защищено» в качестве предупреждения. Явное указание на опасность сайта более заметно.

В России есть дополнительный повод для шифрования, потому что здесь скоро вступает в силу «закон Яровой» — с 1 октября провайдеры начнут хранить на серверах весь интернет-трафик пользователей. По этому закону операторы и веб-сайты обязаны предоставлять ключи шифрования по запросу спецслужб. Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане. Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign, «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.

Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS» с инструкциями в том числе для Let's Encrypt). Очень скоро Chrome и Firefox начнут помечать как «не защищённые» сайты без HTTPS, так что сайты без защиты рискуют ухудшить свою репутацию в глазах пользователей. Это может негативно отразиться на посещаемости ресурса, если уже не отразилось, ведь отсутствие сертификата уже три года немного понижает сайты в поисковой выдаче Google.



Tags:
Hubs:
+12
Comments 85
Comments Comments 85

Articles

Information

Website
www.globalsign.com
Registered
Founded
1996
Employees
501–1,000 employees
Location
Япония