החל מ- Chrome 68, Google Chrome תוויות כל אתרי האינטרנט שאינם HTTPS נקראים "לא מאובטח". שום דבר אחר לא השתנה - אתרי HTTP מאובטחים באותה מידה כמו שתמיד היו - אך גוגל נותנת דחיפה לרשת כולה לעבר חיבורים מאובטחים ומוצפנים.
בעתיד, גוגל אפילו מתכננת להסיר את המילה "מאובטח" מסרגל הכתובות. על כל האתרים להיות מאובטחים כברירת מחדל.
איך עובדים אתרי HTTPS "מאובטחים"
כשאתה מבקר באתר שמשתמש בו הצפנת HTTPS , תראה את סמל הנעילה הירוק המוכר ואת המילה "מאובטח" בשורת הכתובת שלך.
גם אם אתה מזין סיסמאות, מספק מספרי כרטיסי אשראי או מקבל נתונים פיננסיים רגישים על גבי החיבור, ההצפנה מבטיחה שאף אחד לא יכול לצותת למה שנשלח או לשנות את חבילות הנתונים בזמן שהם נעים בין המכשיר שלך לשרת האתר.
זה קורה מכיוון שהאתר מוגדר לשימוש בהצפנת SSL מאובטחת. דפדפן האינטרנט שלך משתמש בפרוטוקול HTTP כדי להתחבר לאתרים לא מוצפנים מסורתיים, אך משתמש ב- HTTPS - פשוטו כמשמעו, HTTP עם SSL - בעת התחברות לאתרים מאובטחים. בעלי אתרים צריכים להגדיר HTTPS לפני שהוא יעבוד באתרים שלהם.
HTTPS מספק גם הגנה מפני אנשים זדוניים שמתחזים לאתר. לדוגמא, אם אתה על בלש והצפה ולהתחבר ל- Google.com, שרתי גוגל יספקו אישור אבטחה שתקף רק ל- Google.com. אם גוגל רק השתמשה ב- HTTP לא מוצפן, לא תהיה שום דרך לדעת אם אתה מחובר ל- Google.com האמיתי או לאתר מתחזה שנועד להטעות אותך ולגנוב את הסיסמה שלך. לדוגמא, נקודה חמה זדונית של Wi-Fi עלולה להפנות אנשים לאתרים מתחזים מסוג זה בזמן שהם מחוברים לרשת Wi-Fi הציבורית.
(טכנית, זה לא מאמת זהות כמו גם תעודות אימות מורחב (EV) . עם זאת, זה יותר טוב מכלום!)
HTTPS מספק גם יתרונות אחרים. באמצעות HTTPS, איש אינו יכול לראות את הנתיב המלא של דפי האינטרנט שאתה מבקר בהם. הם יכולים לראות רק את כתובת האתר שאליו אתה מתחבר. לכן, אם היית קורא על מצב רפואי בדף כמו example.com/medical_condition, אפילו ספק שירותי האינטרנט שלך יוכל רק לראות שאתה מחובר ל- example.com - לא לאיזה מצב רפואי עליו אתה קורא. . אם אתה מבקר בוויקיפדיה, ספק האינטרנט שלך וכל אחד אחר יוכלו רק לראות שאתה קורא ויקיפדיה, ולא מה שאתה קורא עליו.
אתה עשוי לצפות ש- HTTPS יהיה איטי יותר מ- HTTP, אך אתה טועה. מפתחים עבדו על טכנולוגיה חדשה כמו HTTP / 2 כדי להאיץ את הגלישה באינטרנט, אך HTTP / 2 מותר רק בחיבורי HTTPS. זה הופך את HTTPS למהיר יותר מאשר HTTP.
מדוע אתרים "לא מאובטחים" אם הם לא מוצפנים
HTTP מסורתי הולך ומתארך בשן. לכן, ב- Chrome 68 תראה הודעה "לא מאובטח" בשורת הכתובת בזמן שאתה מבקר באתר HTTP לא מוצפן. בעבר, Chrome פשוט הראה "i" אינפורמטיבי במעגל. אם תלחץ על הטקסט "לא מאובטח", Chrome יגיד "החיבור שלך לאתר זה אינו מאובטח."
Chrome אומר שהחיבור אינו מאובטח מכיוון שאין הצפנה להגנה על החיבור. הכל נשלח על החיבור בטקסט רגיל, מה שאומר שהוא פגיע לחטטנות ולהתעסקות. אם תקליד באתר כזה מידע פרטי כמו סיסמה או פרטי תשלום, מישהו יכול לחטט בו בזמן שהוא עובר דרך האינטרנט.
אנשים יכולים גם לצפות בנתונים שהאתר שולח אליך. לכן, גם אם אתה רק גולש באינטרנט, האזנות הסתר יכולות לראות בדיוק אילו דפי אינטרנט אתה מסתכל. ספק שירותי האינטרנט שלך היה יודע בדיוק באילו דפי אינטרנט אתה מסתכל ויכול למכור את המידע הזה לשימוש במיקוד מודעות. גם אנשים אחרים באינטרנט האלחוטי הציבורי בבית הקפה יכלו לראות על מה אתה מסתכל.
אתר לא מוצפן חשוף גם לחבלה. אם מישהו יושב בינך לבין האתר, הוא יכול לשנות את הנתונים שהאתר שולח אליך, או לשנות את הנתונים שאתה שולח לאתר, ולבצע התקפה של איש באמצע. לדוגמה, זה יכול להתרחש כאשר אתה משתמש בנקודה חמה ציבורית של Wi-Fi. מפעיל הנקודה החמה יכול לרגל את הגלישה שלך וללכוד פרטים אישיים או לשנות את תוכן דף האינטרנט לפני שהוא מגיע אליך. לדוגמה, מישהו יכול להכניס קישורי הורדות של תוכנות זדוניות לדף הורדות לגיטימי אם דף ההורדה נשלח באמצעות HTTP במקום HTTPS. הם יכולים אפילו ליצור אתר מתחזה מזויף שמתחזה לאתר לגיטימי - אם האתר הלגיטימי לא משתמש ב- HTTPS, לא תהיה שום דרך להבחין שאתה מחובר לאתר מזויף ולא לאמיתי.
מדוע גוגל ביצעה את השינוי הזה?
גוגל וחברות אינטרנט אחרות, כולל מוזילה , ניהלו קמפיין ארוך טווח להעברת האינטרנט מ- HTTP ל- HTTPS. HTTP נחשבת כיום לטכנולוגיה מיושנת שאתרי אינטרנט אינם צריכים להשתמש בה.
במקור, רק מעט אתרים השתמשו ב- HTTPS. הבנק שלך ואתרים רגישים אחרים ישתמשו ב- HTTPS, ותופנה לדף HTTPS בעת כניסה לאתרים עם סיסמה והזנת מספר כרטיס האשראי שלך. אבל זה היה זה.
אז HTTPS עלה קצת כסף לבעלי אתרים ליישם, וחיבורי HTTPS מאובטחים היו איטיים יותר מחיבורי HTTP. מרבית האתרים פשוט השתמשו ב- HTTP, אך הדבר איפשר חיטוט והתעסקות בחיבור. זה גרם לנקודות חמות ציבוריות של Wi-Fi להיות מסוכנות לשימוש.
כדי לספק פרטיות, אבטחה ואימות זהות, גוגל ואחרים רצו להעביר את האינטרנט לכיוון HTTPS. הם עשו זאת בדרכים רבות: HTTPS עכשיו אפילו מהיר יותר מ- HTTP בזכות טכנולוגיות חדשות, ובעלי אתרים יכולים לקבל אישורי SSL בחינם להצפנת האתרים שלהם ללא מטרות רווח. בואו להצפין . גוגל מעדיפה אתרים המשתמשים ב- HTTPS ומקדמת אותם בתוצאות החיפוש של גוגל.
75% מהאתרים שביקרו ב- Chrome ב- Windows משתמשים כעת ב- HTTPS דוח השקיפות של גוגל . הגיע הזמן להפוך את המתג ולהתחיל להזהיר משתמשים באתרי HTTP.
שום דבר לא השתנה - ל- HTTP יש עדיין את אותן הבעיות שתמיד היו. אבל מספיק אתרים עברו ל- HTTPS שהגיע הזמן להזהיר משתמשים מפני HTTP ולעודד בעלי אתרים להפסיק לגרור את הרגליים. המעבר ל- HTTPS יהפוך את האינטרנט למהיר יותר תוך שיפור האבטחה והפרטיות. זה גם הופך את נקודות החיבור לאינטרנט אלחוטי לבטוחות יותר.
