Безопасность всегда будет проблемой, когда речь идет об Интернете и цифровой связи. Обмен важными данными через Интернет больше не осуществляется по протоколу HTTP. Еще в 1989 году, когда Тим Бернерс-Ли инициировал разработку HTTP, протокол в основном разрабатывался для легкого обмена данными. Но поскольку пользователи начали отправлять важные и конфиденциальные данные через Интернет, потребность в безопасном соединении была неизбежна.
Шаг к более безопасной сети | Фото: Сашкин/Shutterstock
Таким образом, HTTPS был введен в действие. Сегодня цифровые компании по всему миру объединяют усилия, чтобы сделать HTTPS протоколом де-факто для Интернета. Это огромный шаг. И потребуется время, чтобы большая часть Интернета перешла на HTTPS.
Но вот вопрос — а нужно ли это делать? Насколько безопасен HTTPS сегодня? И какие действия для этого предпринимаются? Что ж, давайте узнаем.
Уничтожение HTTP и продвижение HTTPS
Что ж, если вы думаете, насколько небезопасен HTTP и что такое HTTPS, вам следует обратиться к нашему руководству по безопасному просмотру веб-страниц. Если вы уже знаете, что это за термины, то позвольте вас удивить, заявив, что одной из самых стремящихся убить HTTP является компания Google. Недавно было объявлено, что веб-сайты HTTP будут помечаться как Не является безопасным с предупреждающим знаком в адресной строке Chrome. В настоящее время он просто отображает сообщение Соединение не является частным.
Начиная с января 2017 года (Chrome 56) мы будем помечать HTTP-страницы, собирающие пароли или кредитные карты, как незащищенные. — Эмили Шехтер
Это не единственный шаг, предпринятый Google для продвижения HTTPS. Еще в 2014 году Google объявил, что HTTPS будет рассматриваться как сигнал ранжирования веб-сайтов в поисковой системе. И с тех пор многие веб-издатели перешли на HTTPS. Тем не менее, это влияние на рейтинг было очень небольшим. Даже сайты Blogspot (в домене .com) на платформе Blogger были переведены на HTTPS.
Изображение: блог безопасности Google
Помимо Google, даже Apple склоняется к этому, требуя от разработчиков iOS принудительно подключать HTTPS для своих приложений iOS. Более того, службы мгновенных статей Facebook по умолчанию используют HTTPS, что делает страницы издателя безопасными, даже если они полагаются на HTTP. Такая реклама и давление со стороны крупных технологических компаний наверняка переведут не весь, а как минимум половину Интернета на HTTPS.
Ладно, хватит пиариться и напирать. В конце концов, пользователи хотят безопасности. Но действительно ли вы получаете такую безопасность с HTTPS?
Насколько безопасен HTTPS сегодня?
Это не так безопасно. Вот подробная статья EFF о том, почему это не так. Независимо от того, сколько средств защиты выстраивает организация, всегда есть способ взломать ее. Это не совсем безопасно.
HTTPS только усложняет взлом хакерам.
Проблема в том, что мало кто в этом разбирается. Две основные вещи, которые делает HTTPS, заключаются в том, что он шифрует данные и проверяет веб-сайт, чтобы убедиться, что это действительно та веб-страница, о которой вы просили. Эта проверка выполняется с использованием сертификатов. Сертификат веб-сайта сверяется с более чем 600 авторитетными сертификатами, которым может доверять ваш веб-браузер. Таким образом, потенциальный хакер должен найти среди них сертификат, через который он сможет взломать.
Еще один недостаток заключается в том, что даже если вы используете зашифрованное соединение, у злоумышленника есть шанс перехватить ваш веб-трафик. Это так называемые атаки «Человек посередине». Злоумышленник может создать поддельный сертификат сервера для проверки. Но браузеры показывают предупреждение о том, что это ненадежный сертификат.
Если вы попали в Все равно продолжайте кнопку, то ваше устройство уязвимо для атаки «Человек посередине». Злоумышленник может перехватить ваш трафик и увидеть пароли, отправляемые по сети. Так что подумайте, прежде чем бить Все равно продолжайте и не делитесь никакими личными учетными данными с такими сайтами.
У HTTPS могут быть свои недостатки, но он по-прежнему безопасен. Надежное шифрование для HTTPS-соединения может быть просто невозможно взломать для злоумышленника.
Переход на HTTPS
Некоторые сайты просто переходят на HTTPS ради SEO. Блоги и статические сайты обычно не нуждаются в HTTPS-подключении. Пользователи не сообщают им свои личные учетные данные. Однако Эмили Шехтер (менеджер по продукту группы безопасности Google Chrome) с этим не согласна. Вот ее выступление на саммите Progressive Web App Summit, где она развенчивает некоторые мифы о HTTPS.
Переход на HTTPS сегодня не требует больших затрат. Фактически, вы можете получить SSL-сертификаты бесплатно. Что на самом деле может помешать любому перейти на HTTPS, так это потеря производительности, ранжирование в поиске и несовместимость со сторонним контентом. Однако, как объяснила Эмили Шехтер в приведенном выше видео, вы очень скоро восстановите свой поисковый рейтинг, и несколько оптимизаций помогут вашему сайту восстановить нормальную производительность.
Кроме того, некоторые функции, которые Google Chrome и другие браузеры предоставляют таким веб-сайтам, как Всплывающее уведомление а также Маркировка геолокации по умолчанию требуется HTTPS-соединение. Разработчики не будут иметь доступа к этим функциям без HTTPS. В будущем за его стеной будет закреплено больше возможностей.
Это будет более безопасная сеть
Несомненно, что через несколько лет HTTPS станет повсеместным и обеспечит минимальную безопасность для всех веб-сайтов. Для пользователей это ура! Но если вы владелец сайта, перейдете ли вы на HTTPS? Что ты об этом думаешь? Дайте нам знать в комментариях или отправьте твит на @guidintech.
