- PVSM.RU - https://www.pvsm.ru -

Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно

Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно - 1

Несколько месяцев назад разработчики Chrome объявили [1], что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре [1] 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено» [2]. Спрашивается, почему?

Вот как разработчики объясняют [2] это в официальном блоге:

«Пользователи должны ожидать, что веб безопасен по умолчанию, а их предупредят при возникновении проблемы. Поскольку скоро все страницы HTTP будут отмечены как «незащищённые», мы делаем шаг вперёд и удаляем позитивные индикаторы безопасности, так что неотмеченное состояние по умолчанию становится безопасным».

Если задуматься, то это впечатляющая смена парадигмы. Судите сами: раньше обычными считались сайты HTTP, а защищёнными — сайты HTTPS. Теперь индикаторы сдвигаются на ступеньку вверх. Обычными становятся сайты HTTPS, а защищённых нет вообще, потому что все обычные сайты считаются защищёнными по умолчанию! Если сайт не защищён сертификатом TLS, то он не не обычный — и заслуживает отдельной индикации как незащищённый!

То есть защита сайта и шифрование трафика признаются нормой.

С октября 2018 года (версия Chrome 70) браузер начнёт ещё более явно сигнализировать пользователям о незащищённых сайтах HTTP: серый индикатор станет изменяться на красный, если пользователь попробует ввести данные на веб-странице без шифрования трафика.

Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно - 2

С точки зрения восприятия пользователями это важное изменение интерфейса. Исследования показали, что пользователи не воспринимают [3] отсутствие зелёной иконки с замочком «Защищено» в качестве предупреждения. Явное указание на опасность сайта более заметно.

В России есть дополнительный повод для шифрования, потому что здесь скоро вступает в силу «закон Яровой» — с 1 октября провайдеры начнут хранить на серверах весь интернет-трафик пользователей [4]. По этому закону операторы и веб-сайты обязаны предоставлять ключи шифрования по запросу спецслужб. Однако такая система работает только если оригинальные сертификаты сайтов подменить национальными сертификатами, как в Казахстане [5]. Но при использовании стандартного сертификата TLS от доверенного Центра Сертификации, например GlobalSign [6], «предоставить ключи» фактически невозможно, потому что для шифрования соединения каждый раз генерируется новый сеансовый ключ на базе сертификата сервера, открытого ключа клиента и сгенерированных случайных чисел.

Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS» [7] с инструкциями в том числе для Let's Encrypt). Очень скоро Chrome и Firefox начнут помечать как «не защищённые» сайты без HTTPS, так что сайты без защиты рискуют ухудшить свою репутацию в глазах пользователей. Это может негативно отразиться на посещаемости ресурса, если уже не отразилось, ведь отсутствие сертификата уже три года немного понижает сайты в поисковой выдаче Google [8].


АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК

Защитите все субдомены одним сертификатом!

Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!

Промо-код: WC001HRFR

Акция действует для подписчиков блога GlobalSign [9] до 15 июня 2018 г.

Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте [10] с указанием промо-кода.

Автор: GlobalSign_admin

Источник [11]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/shifrovanie/280676

Ссылки в тексте:

[1] объявили: https://habr.com/company/globalsign/blog/349428/

[2] исчезнет индикатор «Защищено»: https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

[3] не воспринимают: https://www.usenix.org/system/files/conference/soups2016/soups2016-paper-porter-felt.pdf

[4] начнут хранить на серверах весь интернет-трафик пользователей: https://habr.com/post/358010/

[5] как в Казахстане: https://habrahabr.ru/post/303736/

[6] GlobalSign: http://www.globalsign.com/ru-ru/ssl/?utm_source=habrahabr&utm_medium=article&utm_campaign=Chrome-secure_pages

[7] «Полное руководство по переходу с HTTP на HTTPS»: https://habrahabr.ru/post/332294/

[8] понижает сайты в поисковой выдаче Google: https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html

[9] блога GlobalSign: http://habr.com/company/globalsign/?utm_source=habrahabr&utm_medium=blog_GlobalSign&utm_campaign=Chrome-_unsecure

[10] форму на сайте: http://www.globalsign.com/ru-ru/kompania/kontakty/obshiy-zapros.html?utm_source=habrahabr&utm_medium=Form-create_order&utm_campaign=Chrome-_unsecure

[11] Источник: https://habr.com/post/359032/?utm_campaign=359032