В браузере Chrome 68 все веб-сайты, отличные от HTTPS, помечаются как «Небезопасные». Больше ничего не изменилось-HTTP-сайты так же безопасны, как и всегда, но Google дает всему интернету толчок к безопасным, зашифрованным соединениям.
В будущем Google даже планирует удалить слово «Защищено» из адресной строки. В конце концов, все сайты должны быть безопасными по умолчанию.
Как работают «безопасные» HTTPS-сайты
Когда Вы посещаете веб-сайт, использующий шифрование HTTPS, Вы увидите знакомый значок зеленого замка и слово «Защищено» в адресной строке.
Даже если Вы вводите пароли, указываете номера кредитных карт или получаете конфиденциальные финансовые данные по соединению, шифрование гарантирует, что никто не сможет подслушивать то, что отправляется или изменять пакеты данных, пока они путешествуют между Вашим устройством и сервером веб-сайта.
Это происходит потому, что веб-сайт настроен на использование безопасного SSL-шифрования. Ваш веб-браузер использует протокол HTTP для подключения к традиционным незашифрованным веб-сайтам, но использует HTTPS — буквально HTTP с SSL — при подключении к защищенным веб-сайтам. Владельцам веб-сайтов необходимо настроить HTTPS, прежде чем он будет работать на сайтах.
HTTPS также обеспечивает защиту от злоумышленников, олицетворяющих веб-сайт. Например, если Вы находитесь в общедоступной точке доступа Wi-Fi и подключаетесь к Google.com, серверы Google предоставят сертификат безопасности, действительный только для Google.com. Если Google просто использовал незашифрованный HTTP, не было бы возможности узнать, были ли Вы связаны с реальным сайтом Google.com или с сайтом самозванца, предназначенным для обмана и кражи Вашего пароля. Например, мошенническая точка доступа Wi-Fi может перенаправлять людей на эти типы мошеннических веб-сайтов, пока они подключены к общественному Wi-Fi.
HTTPS также предоставляет другие преимущества. С HTTPS никто не может видеть полный путь к веб-страницам, которые Вы посещаете. Они могут видеть только адрес веб-сайта, к которому Вы подключаетесь. Итак, если Вы читали о состоянии здоровья на странице, например example.com/medical_condition, даже Ваш провайдер интернет-услуг мог видеть только, что Вы подключены к example.com, а не то, что Вы читаете о состоянии здоровья, если Вы посещаете Википедию, Ваш интернет-провайдер и кто-то еще сможет увидеть, что Вы читаете Википедию, а не то, о чем Вы читаете.
Вы можете ожидать, что HTTPS будет медленнее, чем HTTP, но Вы ошибаетесь. Разработчики работали над новыми технологиями, такими как HTTP/2, чтобы ускорить просмотр веб-страниц, но HTTP/2 разрешен только для соединений HTTPS. Это делает HTTPS быстрее, чем HTTP.
Почему веб-сайты «не защищены», если они не зашифрованы
Традиционный HTTP уходит в прошлое. Вот почему в Chrome 68 Вы увидите сообщение «Небезопасно» в адресной строке, когда вы посещаете незашифрованный сайт HTTP. Раньше Chrome просто показывал информационное «i» в круге. Если Вы нажмете на текст «Не защищено», Chrome скажет: «Ваше соединение с этим сайтом не защищено».
Chrome говорит, что соединение не безопасно, потому что для защиты соединения нет шифрования. Все отправляется по соединению в виде простого текста, что означает, что он уязвим для отслеживания и подделки. Если Вы вводите на такой сайт конфиденциальную информацию, такую как пароль или платежную информацию, кто-то может отслеживать ее, когда она путешествует через Интернет.
Люди также могут просматривать данные, которые веб-сайт отправляет Вам. Таким образом, даже если Вы просто просматриваете Интернет, подслушивающие устройства могут видеть, на каких веб-страницах Вы находитесь. Ваш интернет-провайдер также точно знает, на каких веб-страницах Вы находитесь и может продавать эту информацию для использования в таргетинге объявлений. Другие люди в общественном Wi-Fi в кафе могут видеть, на что Вы смотрите.
Незашифрованный веб-сайт также уязвим для подделки. Если кто-то сидит между Вами и веб-сайтом, они могут изменять данные, которые веб-сайт отправляет Вам, или изменять данные, которые Вы отправляете на веб-сайт, выполняя атаку «человек в середине». Например, это может произойти, если Вы используете общедоступную точку доступа Wi-Fi. Оператор Wi-Fi точки может следить за Вашим просмотром и отображать личные данные или изменять содержимое веб-страницы до ее достижения. Например, кто-то может вставлять ссылки для загрузки вредоносных программ на легитимную страницу загрузки, если эта страница загрузки была отправлена через HTTP вместо HTTPS. Они могут даже создать поддельный сайт, который претендует на законный веб-сайт — если законный веб-сайт не использует HTTPS, не было бы способа заметить, что Вы связаны с поддельным, а не с реальным веб-сайтом.
Почему Google сделал это изменение
Google и другие веб-компании, в том числе Mozilla, проводят долгосрочную кампанию по переносу Интернета с HTTP на HTTPS. HTTP теперь считается устаревшей технологией, которую веб-сайты не должны использовать.
Первоначально только несколько сайтов использовали HTTPS. Ваш банк и другие конфиденциальные веб-сайты использовали HTTPS и перенаправляли пользователей на страницу HTTPS при входе на сайты с паролем и вводе номера своей кредитной карты.
В то время HTTPS стоила денег для владельцев веб-сайтов для реализации, а защита HTTPS-соединений была медленнее, чем HTTP-соединения. Большинство веб-сайтов просто использовали HTTP, но это позволяло отслеживать и подделывать соединение. Это сделало общественные точки Wi-Fi опасными для использования.
Чтобы обеспечить конфиденциальность, безопасность и проверку подлинности, Google и другие хотели перевести Интернет в HTTPS. Они сделали это по-разному: HTTPS теперь даже быстрее, чем HTTP, благодаря новым технологиям, и владельцы сайтов могут получить бесплатные SSL-сертификаты для шифрования своих сайтов из некоммерческого «Let’s Encrypt». Google предпочитает сайты, использующие HTTPS, и продвигает их в результатах поиска Google.
Согласно отчету Google, 75% веб-сайтов, посещаемых в Chrome в Windows, теперь используют HTTPS. Настало время предупреждать пользователей веб-сайтов HTTP.
Ничего не изменилось: у HTTP все еще есть те же проблемы, что и всегда. Но достаточно сайтов перешли на HTTPS, чтобы пришло время предупреждать пользователей об HTTP и поощрять владельцев HTTPS веб-сайтов. Переход на HTTPS сделает Интернет быстрее, улучшая безопасность и конфиденциальность. Это также делает общественные точки доступа Wi-Fi более безопасными.
