Почти 40% интернет-ресурсов используют защищенное HTTPS-соединение. Таковы результаты очередного исследования онлайн-безопасности, которое дважды в год проводит независимый эксперт Скотт Хелм (Scott Helme).

По сравнению с октябрем 2017 года использование HTTPS-протокола выросло более чем на 7 п. п. — до 38,4%. По мнению эксперта, это главный позитивный тренд не только полугодия, но и последних нескольких лет. В то же время Хелм ожидает, что дальнейшее распространение зашифрованных соединений пойдет медленнее: «По предыдущим отчетам видно, что темп миграции на HTTPS постоянно увеличивался, и, разумеется, это не может продолжаться вечно. Несмотря на впечатляющий рост, график начинает выходить на плато… Мы продолжаем двигаться в верном направлении, но отчеты [которые я опубликую] в августе 2018 и феврале 2019 могут показать гораздо меньшую динамику».

Автор подчеркнул тот факт, что все больше веб-мастеров внедряют технологию привязывания публичных ключей (HTTP Public Key Pinning). При этом среди крупных сайтов популярность HPKP падает — возможно, в связи с тем, что уже летом ее перестанет поддерживать браузер Chrome.

Технология HPKP позволяет браузеру запрашивать у сайта сертификат, чтобы удостовериться в легитимности соединения. Это повышает защищенность обмена данными и затрудняет проведение MitM-атак (атак посредника), поскольку злоумышленнику придется похитить белый список сертификатов, который хранится на пользовательской машине. В то же время ошибка при настройке функции сделает ресурс недоступным для посетителей — браузер посчитает его небезопасным.

Еще одна проблема связана с тем, что выбор удостоверяющих центров для выпуска сертификатов возлагается на разработчиков браузеров и ОС. Такая децентрализация затрудняет работу администраторов сайтов — они не знают, какой набор ключей можно считать наиболее полным и доверенным. Именно эти причины и подтолкнули Google к отказу от HPKP.

Хелм также отметил, что все больше сайтов используют сервис Let’s Encrypt, который выдает бесплатные криптографические сертификаты. В октябре 2017 года он вышел на первое место по количеству предоставленных ключей, обогнав своих конкурентов Comodo и Go Daddy. Как считает эксперт, это доказывает, что снятие финансовых и технических барьеров положительно влияет на общий уровень безопасности.

Категории: Аналитика, Главное, Кибероборона