В этом месяце Google приступила к рассылке уведомлений для владельцев сайтов, которые еще не перешли на HTTPS, о том, что с октября браузер Chrome будет маркировать такие сайты как «незащищенные».

Предупреждения обращены к владельцам тех HTTP-страниц, которые содержат веб-формы, такие как <input type = «text»> или <input type = «email»>.

В сообщениях сказано, что в версии Chrome 62, релиз которой намечен ориентировочно на 24 октября, Google будет требовать от сайтов, содержащих любые веб-формы, наличия SSL-сертификата. В противном случае такие сайты будут помечены оповещением «не защищено» в окне браузера.

Эта рассылка не стала новостью – она представляет собой следующий шаг после заявления, опубликованного Эмили Шехтер (Emily Schechter) из группы специалистов по безопасности Chrome в апреле этого года.

Владельцы сайтов, в свою очередь, подтверждают, что последние несколько недель они получали оповещения от Google Search Console – бесплатного сервиса Google, с помощью которого можно отслеживать и оптимизировать результаты поисковой выдачи.

В уведомлениях уточнялось, что предупреждение будет отображаться и в режиме инкогнито – эта функция часто вводит пользователей в заблуждение, что такой поиск безопаснее обычного.

В письмах также приведены советы по переходу на HTTPS, включая ссылки на страницу поддержки по теме и апрельский пост на блоге для разработчиков Chromium.

Поскольку изменения коснутся каждого сайта, где пользователи могут вводить данные, эксперты по сетевой безопасности предупреждают, что наличие любых веб-формы, будь то контактные формуляры, строки поиска или поля авторизации, может усложнить доступ к HTTP-сайтам с октября этого года.

Тони Перес (Tony Perez), сооснователь и генеральный директор компании Sucuri, предлагающей решения для обеспечения безопасности сайтов, в понедельник написал в своем блоге, что нововведения Google вполне обоснованы. Он добавил, что администраторы должны убедиться, что на их сайте установлен SSL-сертификат, и проверить, что сайт принудительно перенаправляет пользователей на HTTPS и что кто-нибудь случайно не наткнется на нешифрованную версию, спровоцировав тем самым предупреждение со стороны Google.

Впервые Google стала выдавать предупреждения о «незащищенных» соединениях в январе, в версии Chrome 56. В перспективе компания планирует маркировать все HTTP-страницы, а не только те, на которых есть поля для ввода, красным треугольником – таким же, который используется для маркировки поврежденных HTTPS-соединений.

В феврале этого года HTTPS-трафик преодолел серьезный рубеж – тогда двухнедельное исследование телеметрии из браузера Mozilla Firefox показало, что 50% страниц загружаются по HTTPS-протоколу. В то же время это говорит о том, что провайдерам и владельцам сайтов еще предстоит долгий и трудный путь.

Центр сертификации Let’s Encrypt, ратующий за идею 100%-го перехода на HTTPS в Интернете, этим летом сообщил, что в 2018 году начнет выдавать сертификаты Wildcard (WC), которые веб-мастера смогут использовать для неограниченного количества поддоменов. В Let’s Encrypt надеются, что это в разы ускорит загрузку HTTPS- страниц.

Категории: Главное, Кибероборона, Уязвимости