Pull to refresh

Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018

Information Security *Website development *Google Chrome

Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.


image


Google Security Blog опубликовал новость об очередном этапе форсирования перехода на https. Давайте вспомним о двух предыдущих этапах. О них также можно прочитать на официальном сайте проекта Сhromium.


В январе 2017 года предупреждение появилось на всех страницах с вводом пароля или номера карточки. Об этом был посты на Хабре и Geektimes.


С октября 2017 года предупрждение возникает при вводе данных уже на любых полях страницы, а также для всех страниц открытых в режиме инкогнито. Пост на Geektimes.


А с июля 2018 года абсолютно все http страницы будут отмечены как "не защищенные". Можно уже сейчас увидеть как будет выглядеть ваш http сайт для посетителей — достаточно его открыть в режиме инкогнито (Ctrl+Shift+N).


Пример — http://example.com/


image


Конечным этапом (пока не объявлено когда) будет вот такой красный значок.


image


Одним из основных аргументов Google в защиту этой политики является проект Let's Encrypt. Let's Encrypt (кстати, один из проектов Linux Foundation) бесплатно выдает TLS сертификаты для использования в продакшне. Получить его можно как вручную на https://www.sslforfree.com/, так и автоматизировать процесс верификации и перевыпуска благодаря открытыму протоколу ACME. Среди множества его клиентских реализаций под разные веб-серверы и окружения, официально рекомендуемым клиентом является CertBot (который развивает Electronic Frontier Foundation (EFF)). Из хороших новостей — 27 февраля 2018 года они начнут выдавать wildcard сертификаты, чего ждали очень многие.


Добавлю также, что проект Сhromium также предлагает увидеть как браузер реагируют на те или иные проблемы с https на специальном сайте https://badssl.com.

Only registered users can participate in poll. Log in, please.
Как вы относитесь к тому, что Google Chrome форсирует переход на https подобным образом?
48.29% Полностью поддерживаю 240
21.13% Поддерживаю, но они это делают слишком жестко 105
7.65% Мне без разницы 38
22.94% Не поддерживаю, они не должны форсировать переход на https 114
497 users voted. 46 users abstained.
Only registered users can participate in poll. Log in, please.
Все ли ваши сайты перешли на https?
37.27% Да, все сайты используют только https 142
22.83% Только часть сайтов, но планируем перевести все 87
20.73% Только часть сайтов, и пока не планируем перевести все 79
6.56% Вообще не используем https, но планируем всеобщий переход 25
12.6% Вообще не используем https, и переход пока не планируем 48
381 users voted. 91 users abstained.
Only registered users can participate in poll. Log in, please.
Как вы или ваш проект относитесь к Let's Encrypt сертификатам?
44.29% Используем везде только Let's Encrypt 159
20.89% Используем только на некоторых сайтах 75
12.26% Не пользуемся, но планируем использовать 44
5.29% У нас EV (Extended Validation) сертификат 19
6.96% Не доверяем, и будем дальше покупать сертификаты за деньги 25
10.31% Мы не используем https 37
359 users voted. 117 users abstained.
Tags:
Hubs:
Total votes 23: ↑21 and ↓2 +19
Views 15K
Comments Comments 101