Доля HTTPS трафика в интернете превысила 50%



    Всех поздравляю с этим событием — 29 января 2017 года количество страниц загруженных по протоколу HTTPS превысило 50%.

    По данным телеметрии Firefox.

    Вы можете сами в этом убедится (там есть и другие графики, еще интересный — количество выданных сертификатов в день от LE).

    Выводы Mozilla сделаны на основании средних показателей объема зашифрованного и не зашифрованного трафика за две недели, и в ближайшие дни они еще могут колебаться. Тем не менее, сам факт того, что зашифрованному трафику удалось превысить по количеству не зашифрованный, уже является значительным событием. «Значение этого переломного момента трудно переоценить», — цитирует издание Wired эксперта организации New America Росса Шульмана (Ross Schulman)
    rublacklist.net/25408

    Не стоит забывать, что использование HTTPS может обезопасить вас от вашего государства, провайдера, хакеров в публичном кафе (от любого вора между вами и сервером) но HTTPS не панацея — при взломе сервера или вирусах на вашем устройстве данный протокол не поможет.

    Внимание любителям посидеть на развлекательных сайтах с работы

    Ваш работодатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.

    В ближайшем будущем на HTTP будет устроена охота — браузеры chrome/firefox будут помечать протокол как не безопасный.

    image

    Подробнее

    PS. В прошлой публикации про HTTPS был опрос, вот его результаты:

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поддерживете ли вы стимулирование перехода на HTTPS
    Поделиться публикацией
    Похожие публикации
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 40
      +7
      Вас работадатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.

      … если вы работаете в крупной компании с профессиональным ИТ-отделом. Если взять вообще все компании, то с вероятностью 90% ваш работодатель вообще не знает, что такое «корневой сертификат».
        0
        Так же с вероятностью 90% ваш работодатель будет требовать от вас (от ИТ-отдела) предоставить такой анализ активности работников в сети, который требует расшифровку HTTPS с подменой сертификатов.
          0
          Так же с вероятностью 90% ваш работодатель будет требовать от вас

          С вероятностью 99.9% под этим требованием будет пониматься список посещаемых сайтов и время их посещения, а не подробный перечень фоток, которые лайкают бухгалтера во вконтактике. Что-то большее случается только в секьюрных конторах. И то, это защита от дурака, т.к. хоть десять раз подменяй сертификаты HTTPS, это не поможет, например, узнать содержание защищённой PGP переписки.
          0
          Развлекательные сайты смотрятся на смартфоне.
          Зачем работодателю расшифровывать трафик? Кто всё это будет анализировать? И если я как сисадмин расшифровываю и всё вижу, то куда мне смотреть?
            0
            Руками обычно никто и не смотрит, но на рабочих ПК часто можно встретить заблокированные интерфейсы на ПК и один единственный доступный вариант утечки — интернет, тут собственно и требуется анализ трафика.
              0
              Подавляющее большинство руководителей в бизнесе любого размера не терпят нецелевое использование рабочего компьютера. Да, есть смартфон, но куда приятнее смотреть видеоприколы на мониторе весь рабочий день. Трафик анализируют так же с целью предотвратить либо зафиксировать факт утечки.
              Кое-где с сисадмина требуют докладывать о поиске работы сотрудниками на соотвествующих порталах.
              Ну и есть такой распространенный синдромом: Control freak — такие начальники желают знать о подчиненных всё.
                +3
                Теперь я лучшего мнения о своих руководителях, ибо они смотрят на выполняемые обязанности и их качество, а не постороннюю активность на компьютере.
            +12
            прЕвысила
              +4
              Вообще, там 8 орфографических ошибок и 2 грамматические. Но сама новость интересная.
                +1
                You must be fun at parties.

                P.S. Да, мне тоже режут глаз эти ошибки, но для этого есть личка :)
                +5
                Поправил большую часть. а так да — буду рад комментариев в личку.
                PS
                Как оказатся на первом месте в Google

                  +3

                  ОказатЬся :)

                    +1
                    Ой всё!
                      +3

                      Запятую надо между "ой" и "всё"

                        +1
                        Точку в конце забыли.
                          –1
                          точку в комментариях писать не совсем обязательно
                            –1
                            А ещё первая буква в предложении должна быть заглавной.
                +6
                Опрос:
                > Поддерживете ли вы стимулирование перехода на HTTPS
                Нет, шифрование это плохо

                Зачем такие провокационные варианты ответа, ради очередного холивара? Уже сколько раз везде обсуждали, что https — нужен далеко не на 100% процентов сайтов.
                  +4
                  Добавил бы вариант в опросник «Да, но в пределах разумного»
                    0
                    А в каких именно пределах?
                      +1
                      Ну здесь уже не раз обсуждалось, что не на всех сайтах нужно шифрование. Вот допустим захочу я какую нибудь игрушку с вебсокетами написать, никакой ценной информации для перехвата нет, а скорость нужна, т.е. шифрование только мешает.
                        0
                        Вы удивитесь, но WSS будет работать быстрее чем WS из-за игнорирования потока данных при проходе через прокси и различные анализаторы.
                        PS Вебсокет вообще очень не нравится прокси серверам, особенно корпоративных и если есть возможность его лучше оборачивать…
                          +1
                          Попытался найти подтверждение тому, что вы сказали, но безуспешно. И непонятно почему прокси вообще как то отличают ws от простого http. Из того что сказано выше выходит что https быстрее http, потому что его данные тоже никто не анализирует.
                            0
                            Загуглите forefront websocket
                            прокси от микрософта в ентерпрайзе — частый случай
                        –1

                        Например, отдача тяжелого статического контента типа видео или файлов игр (Steam, Origin,...) не имеет смысла поверх HTTPS. И если с клиентами понятно — там свой протокол, то отдать видео в HTTPS-страницу по HTTP проблематично без ругани браузера.

                          +2
                          или файлов игр

                          Имеет — можно устроить MITM заразив исполняемый файл
                            +1

                            Если файлы подписаны и проверяются локально загрузчиком после закачки — какой смысл тратить ресуры на шифрование каждой отдельной сессии?

                            +1
                            А если я не хочу, чтобы кто-то видел, в какие игры я играю и (особенно) какое видео я смотрю?
                        –1
                        Не удержался:

                        "… Наиболее часто встречающиеся слова в передаваемом по https трафике: [тут перечень слов]…
                        По данным телеметрии Firefox."
                          0
                          А Яровая то не в курсе :)
                            0
                            Проясните пожалуйста вопрос. Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями. Если США имеют доступ к SSL-сертификату который выдали моему сайту, значит они (АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?
                            Есть ли чисто российские SSL сертификаты?
                              0
                              Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями.

                              Нет, можете найти центр сертификации из другой страны.

                              (АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?

                              Генерация приватного ключа может происходить у вас на сервере и никуда не передаватся => трафик между сервером и клиентом нельзя расшифровать. Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации, ща что их выкинули из доверия большинства браузеров.

                              Есть ли чисто российские SSL сертификаты?

                              Не слышал, и маловероятно, что они появятся, по законам РФ шифрование должно быть ГОСТ а не то, которое весь мир использует.
                                –1
                                Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации

                                1. Значит это не единственные возможные нарушения.
                                2. Как будут поступать, если на таких нарушениях попадутся крупнейшие американские компании?
                                ps
                                Сама новость ни о чём. За год трафик сместился с разных сайтов на некоторые одинаковые крупные, которые исторически на https.
                                Вопрос в другом, почему американские компании так переживают за то, что мой провайдер в РФ (или другой стране) увидит мои сообщения? И почему насильно не внедряют pgp? Почему компания firefox не доказывает, что если вы обмениваетесь почтовыми сообщениями с абонентом более одного раза, то пошлите ему даже в почте публичный ключ и если именно в этот момент никто его не перехватил — всю жизнь переписывайтесь с товарищем шифровками.
                                Я просто не понимаю этого.
                                  0
                                  2. — выкинут из доверяемых

                                  Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.

                                  А зачем тут pgp?
                                    –1
                                    2. — выкинут из доверяемых

                                    Хорошо.
                                    Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.

                                    А зачем тут pgp?

                                    Всё таки если весь вопрос в защите пароля, то его не надо передавать, надо хеш передавать. Как я понимаю, защищать надо платёжные данные (номер карты) или собственно сообщения в личку. Чтобы вы могли мне писать в личку всё, что думаете о политиках и не волноваться о СОРМ и прочей мути. Я не прав?
                              0
                              Ваш работодатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.

                              Это и троян, я так понимаю, может свой сертификат поставить? Вообще, как можно определить, что установлен сторонний сертификат?

                                +1

                                Открыть тот же сайт со смартфона/другого компьютера и светить хэш сертификата.

                                  0
                                  В Хроме это где-то в DevTools можно увидеть. У нас (в ЯБ) мы размыкаем замочек в адресной строке и пишем там в деталях. Хотелось бы, чтобы все так делали.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Возможно проблемы с сертификатами. Недавно были баны выпускающих центров.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое