В будущем Google даже планирует удалить слово «Secure» из адресной строки. В конце концов, все сайты должны быть безопасными по умолчанию.
Как работают «безопасные» HTTPS-сайты
Даже если вы вводите пароли, указываете номера кредитных карт или получаете конфиденциальные финансовые данные по соединению, шифрование гарантирует, что никто не сможет подслушивать то, что отправляется или изменять пакеты данных, пока они путешествуют между вашим устройством и сервером веб-сайта.
Это происходит потому, что веб-сайт настроен на использование безопасного SSL-шифрования. Ваш веб-браузер использует протокол HTTP для подключения к традиционным незашифрованным веб-сайтам, но использует HTTPS - буквально HTTP с SSL - при подключении к защищенным веб-сайтам. Владельцам веб-сайтов необходимо настроить HTTPS, прежде чем он будет работать на своих сайтах.
HTTPS также обеспечивает защиту от злоумышленников, олицетворяющих веб-сайт. Например, если вы находитесь в общедоступной точке доступа Wi-Fi и подключаетесь к Google.com, серверы Google предоставят сертификат безопасности, действительный только для Google.com. Если Google просто использовал незашифрованный HTTP, не было бы возможности узнать, были ли вы связаны с реальным сайтом Google.com или с сайтом самозванца, предназначенным для обмана и кражи вашего пароля. Например, злонамеренная точка доступа Wi-Fi может перенаправлять людей на эти типы мошеннических веб-сайтов, пока они подключены к общественному Wi-Fi.
(Технически это не проверяет идентификационные данные, а также сертификаты расширенной валидации (EV). Однако это лучше, чем ничего!)
HTTPS также предоставляет другие преимущества. С HTTPS никто не может видеть полный путь к веб-страницам, которые вы посещаете. Они могут видеть только адрес веб-сайта, к которому вы подключаетесь. Итак, если вы читали о состоянии здоровья на странице, например example.com/medical_condition, даже ваш поставщик интернет-услуг мог видеть только, что вы подключены к example.com, а не то, что медицинское состояние вы читаете о, Если вы посещаете Википедию, ваш интернет-провайдер и кто-то еще сможет увидеть, что вы читаете Википедию, а не то, о чем вы читаете.
Вы можете ожидать, что HTTPS будет медленнее, чем HTTP, но вы ошибаетесь. Разработчики работали над новыми технологиями, такими как HTTP / 2, чтобы ускорить просмотр веб-страниц, но HTTP / 2 разрешен только для соединений HTTPS. Это делает HTTPS быстрее, чем HTTP.
Почему веб-сайты «не защищены», если они не зашифрованы
Chrome говорит, что соединение не безопасно, потому что для защиты соединения нет шифрования. Все отправляется по соединению в виде простого текста, что означает, что он уязвим для отслеживания и подделки. Если вы вводите на такой сайт конфиденциальную информацию, такую как пароль или платежную информацию, кто-то может отслеживать ее, когда она путешествует по Интернету.
Люди также могут просматривать данные, которые веб-сайт отправляет вам. Таким образом, даже если вы просто просматриваете Интернет, подслушивающие устройства могут видеть, на каких веб-страницах вы смотрите. Ваш интернет-провайдер также точно знает, на каких веб-страницах вы просматриваете и можете продавать эту информацию для использования в таргетинге объявлений. Другие люди в общественном Wi-Fi в кафе могут видеть, на что вы смотрите.
Незашифрованный веб-сайт также уязвим для подделки. Если кто-то сидит между вами и веб-сайтом, они могут изменять данные, которые веб-сайт отправляет вам, или изменять данные, которые вы отправляете на веб-сайт, выполняя атаку «человек в середине». Например, это может произойти, если вы используете общедоступную точку доступа Wi-Fi. Оператор горячей точки может следить за вашим просмотром и отображать личные данные или изменять содержимое веб-страницы до ее достижения. Например, кто-то может вставлять ссылки для загрузки вредоносных программ на легитимную страницу загрузки, если эта страница загрузки была отправлена через HTTP вместо HTTPS. Они могут даже создать поддельный сайт-импост, который претендует на законный веб-сайт - если законный веб-сайт не использует HTTPS, не было бы способа заметить, что вы связаны с поддельным, а не с реальным.
Почему Google сделал это изменение?
Первоначально только несколько сайтов использовали HTTPS.Ваш банк и другие конфиденциальные веб-сайты будут использовать HTTPS, и вы будете перенаправлены на страницу HTTPS при входе на сайты с паролем и введите номер своей кредитной карты. Но это все.
В то время HTTPS стоила денег для владельцев веб-сайтов для реализации, а защита HTTPS-соединений была медленнее, чем HTTP-соединения. Большинство веб-сайтов просто использовали HTTP, но это позволяло отслеживать и подделывать соединение. Это сделало общественные горячие точки Wi-Fi рискованными для использования.
Чтобы обеспечить конфиденциальность, безопасность и проверку подлинности, Google и другие хотели перевести Интернет в HTTPS. Они сделали это по-разному: HTTPS теперь даже быстрее, чем HTTP, благодаря новым технологиям, и владельцы сайтов могут получить бесплатные SSL-сертификаты для шифрования своих сайтов из некоммерческого «Давайте зашифровать». Google предпочитает сайты, использующие HTTPS, и продвигает их в результатах поиска Google.
Согласно опросу прозрачности Google, 75% веб-сайтов, посещаемых в Chrome в Windows, теперь используют HTTPS. Настало время перевернуть переключатель и начать предупреждать пользователей веб-сайтов HTTP.
Ничего не изменилось: у HTTP все еще есть те же проблемы, что и всегда. Но достаточно сайтов перешли на HTTPS, чтобы пришло время предупреждать пользователей об HTTP и поощрять владельцев веб-сайтов перестать тащить ноги. Переход на HTTPS сделает Интернет быстрее, улучшая безопасность и конфиденциальность. Это также делает общественные точки доступа Wi-Fi более безопасными.
