Počínaje prohlížečem Chrome 68, Google Chrome štítky všechny weby, které nepodporují HTTPS, označují jako „nezabezpečené“. Nic jiného se nezměnilo - weby HTTP jsou stejně bezpečné jako vždy - ale Google dává celému webu šanci na zabezpečené šifrované připojení.
V budoucnu Google dokonce plánuje odstranit slovo „Secure“ z adresního řádku. Všechny webové stránky by měly být ve výchozím nastavení zabezpečené.
Jak fungují „zabezpečené“ webové stránky HTTPS
Když navštívíte web, který používá Šifrování HTTPS , uvidíte v adresním řádku známou zelenou ikonu zámku a slovo „Zabezpečeno“.
I když zadáte hesla, zadáte čísla kreditních karet nebo budete přes připojení přijímat citlivá finanční data, šifrování zajistí, že nikdo nebude moci odposlouchávat odesílané údaje ani měnit datové pakety, když cestují mezi vaším zařízením a serverem webu.
K tomu dochází, protože web je nastaven tak, aby používal zabezpečené šifrování SSL. Váš webový prohlížeč používá protokol HTTP pro připojení k tradičním nezašifrovaným webům, ale při připojení k zabezpečeným webům používá HTTPS - doslova HTTP s SSL. Vlastníci webových stránek musí nastavit HTTPS, než bude fungovat na jejich webových stránkách.
HTTPS také poskytuje ochranu před lidmi se zlými úmysly vydávat se za web. Například pokud jste na Balsh a Htsepa a připojte se na Google.com, servery Google poskytnou bezpečnostní certifikát, který je platný pouze pro Google.com. Pokud by Google právě používal nezašifrovaný protokol HTTP, nebylo by možné zjistit, zda jste byli připojeni ke skutečnému webu Google.com nebo k podvodnému webu, jehož cílem je oklamat vás a ukrást vaše heslo. Například škodlivý hotspot Wi-Fi může přesměrovat lidi na tyto typy podvodných webů, když jsou připojeni k veřejné Wi-Fi.
(Technicky to neověří stejně dobře Osvědčení o prodloužené validaci (EV) . Je to však lepší než nic!)
HTTPS poskytuje také další výhody. Díky protokolu HTTPS nikdo nevidí úplnou cestu k navštíveným webovým stránkám. Vidí pouze adresu webu, ke kterému se připojujete. Pokud tedy čtete o zdravotním stavu na stránce jako example.com/medical_condition, dokonce i váš poskytovatel internetových služeb by mohl vidět pouze to, že jste připojeni k example.com - ne o tom, o jakém zdravotním stavu čtete . Pokud navštěvujete Wikipedii, váš ISP a kdokoli jiný by mohl vidět pouze to, že čtete Wikipedii, ne to, o čem čtete.
Můžete očekávat, že HTTPS je pomalejší než HTTP, ale mýlili byste se. Vývojáři pracují na nových technologiích jako HTTP / 2 k urychlení procházení webu, ale protokol HTTP / 2 je povolen pouze u připojení HTTPS. Díky tomu je HTTPS rychlejší než HTTP.
Proč nejsou webové stránky „zabezpečené“, pokud nejsou šifrované
Tradiční protokol HTTP začíná být dlouho v zubu. Proto se v prohlížeči Chrome 68 při návštěvě nezašifrovaného webu HTTP v adresním řádku zobrazí zpráva „Nezabezpečeno“. Dříve Chrome pouze zobrazoval informační „i“ v kruhu. Pokud kliknete na text „Nezabezpečeno“, Chrome řekne „Vaše připojení k tomuto webu není zabezpečené.“
Chrome říká, že připojení není zabezpečené, protože neexistuje žádné šifrování, které by připojení chránilo. Všechno se odesílá přes připojení ve formátu prostého textu, což znamená, že je zranitelné vůči čmuchání a neoprávněné manipulaci. Pokud na takovou webovou stránku zadáte soukromé informace, jako je heslo nebo platební údaje, mohl by je někdo při cestování po internetu slídit.
Lidé mohou také sledovat data, která vám web zasílá. Takže i když právě procházíte web, odposlouchávače přesně vidí, na které webové stránky se díváte. Váš poskytovatel internetových služeb by také přesně věděl, na jaké webové stránky se díváte, a mohl by tyto informace prodat pro účely cílení reklam. I ostatní lidé na veřejné Wi-Fi v kavárně mohli vidět, na co se díváte.
Nešifrovaný web je také zranitelný vůči neoprávněné manipulaci. Pokud někdo sedí mezi vámi a webem, může upravit data, která vám web zasílá, nebo upravit data, která odesíláte na web, a provést útok typu man-in-the-middle. Může k tomu například dojít, když používáte veřejný hotspot Wi-Fi. Provozovatel hotspotu může špehovat vaše procházení a zaznamenávat osobní údaje nebo upravovat obsah webové stránky, než se k vám dostane. Někdo může například vložit odkazy na stahování malwaru na legitimní stránku pro stahování, pokud byla tato stránka pro stahování odeslána přes HTTP místo HTTPS. Mohli by dokonce vytvořit falešný podvodný web, který předstírá, že je legitimní web - pokud legitimní web nepoužívá HTTPS, neexistuje způsob, jak si všimnout, že jste připojeni k falešnému a ne skutečnému.
Proč Google provedl tuto změnu?
Google a další webové společnosti, včetně Mozilla , vedou dlouhodobou kampaň, která má přesunout web z HTTP na HTTPS. HTTP je nyní považován za zastaralou technologii, kterou by weby neměly používat.
Původně protokol HTTPS používalo pouze několik webů. Vaše banka a další citlivé weby by používaly protokol HTTPS. Během přihlášení k webům pomocí hesla a zadávání čísla vaší kreditní karty byste byli přesměrováni na stránku HTTPS. Ale to bylo vše.
Tehdy HTTPS stálo za implementaci nějaké peníze pro vlastníky webových stránek a zabezpečená připojení HTTPS byla pomalejší než připojení HTTP. Většina webů právě používala protokol HTTP, ale to umožňovalo sledování a manipulaci s připojením. Díky tomu bylo veřejné hotspoty Wi-Fi riskantní používat.
V zájmu zajištění ochrany soukromí, zabezpečení a ověření identity chtěl Google a další přesunout web na HTTPS. Udělali to mnoha způsoby: HTTPS je nyní díky novým technologiím ještě rychlejší než HTTP a majitelé webů mohou získat neziskové certifikáty SSL k šifrování svých webů zdarma Pojďme zašifrovat . Google dává přednost webům, které používají HTTPS, a propaguje je ve výsledcích vyhledávání Google.
75% webů navštívených v prohlížeči Chrome v systému Windows nyní používá protokol HTTPS Zpráva o transparentnosti Google . Nyní je čas přepnout přepínač a začít varovat uživatele webů HTTP.
Nic se nezměnilo - HTTP má stále stejné problémy jako vždy. Ale na HTTPS se přesunul dostatek webů, takže je čas varovat uživatele před HTTP a vyzvat vlastníky webů, aby přestali tahat za nohu. Přechod na HTTPS zrychlí web a zároveň zlepší zabezpečení a soukromí. Zvyšuje také bezpečnost veřejných hotspotů Wi-Fi.
