Починаючи з Chrome 68, Google Chrome етикетки на всіх веб-сайтах, що не належать до HTTPS, як “Не захищені”. Нічого іншого не змінилося - веб-сайти HTTP настільки ж захищені, як і завжди, - але Google наполегливо намагається захистити зашифровані з’єднання.
У майбутньому Google навіть планує видалити слово "Secure" із адресного рядка. Зрештою, всі веб-сайти повинні бути захищеними.
Як працюють "безпечні" веб-сайти HTTPS
Коли ви відвідуєте веб-сайт, який використовує Шифрування HTTPS , у вашому адресному рядку з’явиться знайомий зелений значок замка та слово "Secure".
Навіть якщо ви вводите паролі, надаєте номери кредитних карток або отримуєте конфіденційні фінансові дані через з’єднання, шифрування гарантує, що ніхто не зможе прослуховувати те, що надсилається, або змінювати пакети даних, коли вони подорожують між вашим пристроєм та сервером веб-сайту.
Це відбувається тому, що веб-сайт налаштований на використання безпечного шифрування SSL. Ваш веб-браузер використовує протокол HTTP для підключення до традиційних незашифрованих веб-сайтів, але використовує HTTPS - буквально, HTTP із SSL - під час підключення до захищених веб-сайтів. Власники веб-сайтів повинні налаштувати HTTPS, перш ніж він працюватиме на їх веб-сайтах.
HTTPS також забезпечує захист від зловмисних людей, які видають себе за веб-сайт. Наприклад, якщо ви перебуваєте в Бальш і Хцепа і підключитися до Google.com, сервери Google нададуть сертифікат безпеки, який діє лише для Google.com. Якби Google просто використовував незашифрований HTTP, не було б способу визначити, чи були ви підключені до справжнього Google.com чи до сайту-самозванця, призначеного для того, щоб обдурити вас і вкрасти ваш пароль. Наприклад, зловмисна точка доступу Wi-Fi може перенаправляти людей на такі типи веб-сайтів-самозванців, коли вони під’єднані до загальнодоступного Wi-Fi.
(Технічно це також не підтверджує особу Сертифікати розширеної перевірки (EV) . Однак це краще, ніж ніщо!)
HTTPS також забезпечує інші переваги. За допомогою HTTPS ніхто не може бачити повний шлях веб-сторінок, які ви відвідуєте. Вони можуть бачити лише адресу веб-сайту, до якого ви підключаєтесь. Отже, якби ви читали про стан здоров’я на такій сторінці, як example.com/medical_condition, навіть ваш постачальник послуг Інтернету міг би бачити лише те, що ви підключені до example.com - а не про те, про який медичний стан ви читаєте . Якщо ви відвідуєте Вікіпедію, ваш Інтернет-провайдер та будь-хто інший зможуть побачити, що ви читаєте Вікіпедію, а не те, про що ви читаєте.
Можливо, ви очікуєте, що HTTPS працює повільніше, ніж HTTP, але ви помилитеся. Розробники працювали над новими технологіями, як HTTP / 2 щоб пришвидшити перегляд веб-сторінок, але HTTP / 2 дозволений лише на з'єднаннях HTTPS. Це робить HTTPS швидшим, ніж HTTP.
Чому веб-сайти “не захищені”, якщо вони не зашифровані
Традиційний HTTP затягується в зуб. Ось чому в Chrome 68 під час відвідування незашифрованого сайту HTTP ви побачите в адресному рядку повідомлення "Не захищено". Раніше Chrome просто показував інформаційне "i" по колу. Якщо натиснути текст «Не захищено», Chrome скаже «Ваше з’єднання з цим сайтом не захищене».
Chrome стверджує, що з’єднання не є безпечним, оскільки не існує шифрування для захисту з’єднання. Все надсилається через зв’язок у вигляді простого тексту, а це означає, що воно вразливе до перегляду та підробки. Якщо ви вводите на такий веб-сайт приватну інформацію, таку як пароль або платіжну інформацію, хтось може підглянути її під час подорожі через Інтернет.
Люди також можуть спостерігати за даними, які веб-сайт надсилає вам. Отже, навіть якщо ви просто переглядаєте Інтернет, підслуховувачі можуть точно бачити, які веб-сторінки ви переглядаєте. Ваш постачальник послуг Інтернету також точно знає, які веб-сторінки ви переглядаєте, і може продати цю інформацію для використання в націлюванні на рекламу. Інші користувачі загальнодоступного Wi-Fi у кав’ярні теж могли бачити, на що ви дивитесь.
Незашифрований веб-сайт також вразливий до фальсифікацій. Якщо хтось сидить між вами та веб-сайтом, він може змінити дані, які веб-сайт надсилає вам, або змінити дані, які ви надсилаєте на веб-сайт, виконавши атаку "людина посередині". Наприклад, це може статися, коли ви використовуєте загальнодоступну точку доступу Wi-Fi. Оператор точки доступу може шпигувати за вашим переглядом та фіксувати особисті дані або модифікувати вміст веб-сторінки, перш ніж вона потрапить до вас. Наприклад, хтось міг вставити посилання для завантаження шкідливого програмного забезпечення на законну сторінку завантаження, якщо ця сторінка завантаження була надіслана через HTTP замість HTTPS. Вони навіть можуть створити підроблений веб-сайт самозванця, який видає себе законним веб-сайтом. Якщо законний веб-сайт не використовує HTTPS, неможливо помітити, що ви підключені до підробленого, а не реального.
Чому Google зробив цю зміну?
Google та інші веб-компанії, в тому числі Mozilla , ведуть довгострокову кампанію з переходу Інтернету з HTTP на HTTPS. Зараз HTTP вважається застарілою технологією, яку веб-сайти не повинні використовувати.
Спочатку лише кілька веб-сайтів використовували HTTPS. Ваш банк та інші конфіденційні веб-сайти використовуватимуть HTTPS, і ви будете перенаправлені на сторінку HTTPS під час входу на веб-сайти за допомогою пароля та введення номера вашої кредитної картки. Але це було все.
Тоді HTTPS коштував власникам веб-сайтів певні гроші, а захищені з'єднання HTTPS були повільнішими, ніж з'єднання HTTP. Більшість веб-сайтів просто використовували HTTP, але це дозволяло переглядати та підробляти з'єднання. Це зробило загальнодоступні точки доступу Wi-Fi ризикованими у використанні.
Щоб забезпечити конфіденційність, безпеку та підтвердження особи, Google та інші хотіли перенести Інтернет на HTTPS. Вони зробили це багатьма способами: HTTPS тепер навіть швидший за HTTP завдяки новим технологіям, а власники веб-сайтів можуть отримати безкоштовні сертифікати SSL для шифрування своїх веб-сайтів від некомерційних організацій Давайте шифрувати . Google надає перевагу веб-сайтам, які використовують HTTPS, і рекламує їх у результатах пошуку Google.
75% веб-сайтів, які відвідують Chrome у Windows, зараз використовують HTTPS Звіт про прозорість Google . Настав час перемкнути перемикач і почати попереджати користувачів веб-сайтів HTTP.
Нічого не змінилося - HTTP все ще має ті самі проблеми, що і завжди. Але достатньо веб-сайтів перейшло на HTTPS, що настав час попередити користувачів про HTTP та заохотити власників веб-сайтів перестати тягнути ноги. Перехід на HTTPS зробить Інтернет швидшим, одночасно покращивши безпеку та конфіденційність. Це також робить загальнодоступні точки доступу Wi-Fi безпечнішими.
