Chrome 68 будет помечать все сайты HTTP как «небезопасные»

vol2asvdrioz9bzcqhevusfkphe.png

Google и Mozilla давно агитируют за повсеместное шифрование веб-трафика и установку сертификатов SSL/TLS. В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets’s Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google является платиновым спонсором этого сервиса.

Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS»). Более того, в наше время HTTPS практически обязателен для каждого веб-сайта: Chrome и Firefox уже сейчас помечают как небезопасные веб-сайты с формами на страницах без HTTPS. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

А дальше сайтам HTTP станет ещё труднее жить. Разработчики браузера Chrome объявили, что с версии Chrome 58 в июле 2018 года начнут помечать как небезопасные не только страницы с формами, но абсолютно все страницы HTTP. Сообщение о небезопасности сайта пользователи увидят в адресной строке рядом с URL сайта (см. скриншот вверху).

Разработчики Chrome отмечают, что за прошлый год очень большую часть трафика в интернете удалось перевести на HTTPS. Сейчас в зашифрованном виде передаётся:

  • Более 68% трафика Chrome на Android и Windows
  • Более 78% трафика Chrome на Chrome OS и Mac
  • 81 из 100 крупнейших сайтов интернета установили HTTPS по умолчанию


Например, скачок популярности HTTPS в прошлом году произошёл в Японии. Сертификаты установили крупные сайты вроде Rakuten, Cookpad, Ameblo и Yahoo Japan, а доля HTTPS-трафика в Chrome под Windows подскочила с 31% до 55%.

В США доля зашифрованного трафика за прошлый год выросла с 59% до 73%.

Сама компания Google перевела все свои сервисы на HTTPS по умолчанию.

w2sjsxdi_l4zpdmktoit5unbutg.png

«Новый интерфейс Chrome поможет пользователям понять, что все HTTP-сайты являются небезопасными. Он способствует дальнейшему движению веба к использованию защищённого стандарта HTTPS по умолчанию, — сказано в официальном блоге Chromium. — Сейчас установить HTTPS проще и дешевле, чем когда бы то ни было, и он открывает возможности по улучшению производительности и мощные новые функции, которые слишком деликатны для HTTP».

Что ж, компания Google верна своему слову. Ещё в сентябре 2016 года она пообещала, что начнёт помечать как небезопасные все сайты HTTP, и вот с июля 2018 года это произойдёт.

По такому же пути идёт и браузер Firefox. Начиная с версии Firefox 51 (вышла в январе 2017 года) помечаются как небезопасные страницы HTTP, на которых нужно вводить пароли. В адресной строке для них указан значок с перечёркнутым замком.

qozujhuwz2ecqmbyg1_b4553pd0.png

С точки зрения восприятия пользователями это важное изменение интерфейса. Исследования показали, что пользователи не воспринимают отсутствие зелёной иконки с замочком «Защищено» в качестве предупреждения. Явное указание на опасность сайта — прямо в адресной строке — станет заметным изменением.

Таким образом, в ближайшее время можно ожидать массового обращения сайтов за сертификатами TLS. После появления бесплатных краткосрочных сертификатов Let’s Encrypt, расчитанных только на защиту домена (DV) доля сайтов HTTPS начала быстро расти, но до сих пор она не слишком велика. Например, по статистике за январь 2018 года, в Рунете из 4 016 205 узлов валидные сертификаты TLS есть только у 405 698, самоподписанные — у 32 395. Количество корректных узлов HTTPS составляет 458 674. То есть доля корректных узлов HTTPS в Рунете — всего лишь 11,4%.

Но это всё равно значительный прогресс, ведь ещё в июле 2015 года количество корректных узлов HTTPS в Рунете составляло скромные 34 305 штук, то есть 0,9% от общего количества. После этого начался достаточно устойчивый рост числа действующих сертификатов.

zc5hgibw-adb1uaclwruai1zwda.png


Количество корректных узлов HTTPS в Рунете с июля 2015-го по январь 2018 года. Источник: statdom.ru

Да и нужно понимать, что «живых» веб-узлов в Рунете очень мало. Здесь статистики нет, но коды Google Analytics обнаруживаются только на 534 тыс. веб-узлов, а «Яндекс.Метрика» — на миллионе с небольшим. Хотя устанавливать эти следящие трекеры крайне не рекомендуется, но они служат косвенным показателем, сколько примерно активных узлов в Рунете. Так что среди сайтов с реальной поддержкой доля HTTPS может быть ближе к 40–50%. Кстати, это соответствует данным телеметрии Mozilla: доля веб-страниц HTTPS в браузере Firefox сейчас составляет около 49%.

lpvaryt3csbubvtcsqjmuza2jw4.png

Возможно, на рост популярности TLS в России повлияло и ужесточение слежки за гражданами в интернете, в том числе принятие так называемого «закона Яровой», который требует сохранения всего интернет-трафика. Правда, по этому закону операторы и веб-сайты обязаны предоставлять ключи шифрования (см. утверждённый порядок получения ключей шифрования от интернет-сервисов). Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки трафика, на него может быть наложен штраф в миллион рублей. То есть спецслужбы рассчитывают отслеживать и зашифрованный трафик.

Не совсем понятно, как будет реализована расшифровка трафика в случае с веб-узлами TLS. Например, в Казахстане для этого сертификаты сайтов подменяются национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации. Возможно, и в России будет реализовано нечто подобное.

Но в случае использования стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.

Разработчики браузеров дают понять, что каждому сайту нужно шифрование HTTPS. Так и есть. Каждому сайту есть что терять: это или информация о пользователях, или репутация, или просто защита от внедрения сторонних баннеров и криптомайнеров на страницы, например, со стороны провайдера или WiFi-хотспота, через который идёт трафик. Если пользователь подключается к любому сайту по незащищённому каналу HTTP, то он фактически открывает свой браузер для любого постороннего кода, который захотят запустить на компьютере посторонние лица. И представьте, что будет, если уязвимости вроде Meltdown и Spectre можно эксплуатировать через JavaScript?

© Habrahabr.ru