У свіжому випуску свого браузера Chrome розробники з Google зробили одну суттєву зміну безпеки. Браузер почне блокувати сайти, які мають сертифікати HTTPS від великого видавця. Новий Chrome 70 вийде вже 16 жовтня.
У свіжій версії браузера будуть блокувати сайти, які використовують сертифікати Symantec, видані до червня 2016 року, разом з виданими брендами Thawte, VeriSign, Equifax, GeoTrust та RapidSSL.
Попри наданий сайтам рік на підготовку, дослідник Скот Хелм знайшов 1139 веб-ресурсів з мільйона найпопулярніших сайтів, які використовують старі сертифікати. Серед них – Citrus, SSRN, Федеральний банк Індії, Pantone, Офіційний портал Тель-Авіва, Squatty Potty та Penn State Federal. Такі ресурси, як Ferrari, One Identity та Solidworks, змінили сертифікати лише нещодавно.
Сертифікати HTTPS шифрують дані між вашим комп’ютером та сервером, на якому працює сайт. Вважається, що це суттєво підвищує безпеку, і тому Google, користуючись своїми можливостями, примусово перевів інтернет на використання HTTPS. Сьогодні через захищений HTTPS передається майже 50% світового трафіку.
Може здатися, що масове шифрування – це добре, однак за нього доводиться розплачуватися. Наприклад, при роботі із сайтами з HTTPS на мобільному пристрої через 3G збільшується на 50% затримка у пересиланні даних та на 30% – споживання енергії. Зважаючи, що за стандартом затримка при пересиланні даних через UMTS становить не менше 500 мс, час завантаження веб-сторінок зростає у 1,5 раза. А при відтворенні відео на мобільних пристроях вони витрачають на 25% менше енергії при прийманні даних по HTTP.
Також сама ідея сертифікатів основана на тому, що компанія для їхньої видачі є чесною та захищеною. Однак, наприклад, у Казахстані у 2016 році запустили державний центр сертифікації HTTPS, який дозволив переглядати увесь зашифрований трафік у країні. У 2011 році центр сертифікації Comodo Internet Security (йому довіряло більшість виробників браузерів) підписав сертифікати для невідомих шахраїв на такі домени: google.com, www.google.com, yahoo.com (3шт), skype.com, mozilla.org, live.com. У березні 2015 року Google стало відомо, що невідомі шахраї отримали сертифікати на його домени. Їх видав проміжний центр сертифікації, котрий отримав власний сертифікат від CNNIC (China Internet Network Information Center) – агентства, яке керує доменом cn і підконтрольне Міністерству інформатизації Китаю. CNNIC включений у всі основні списки довірених сертифікаційних центрів, і тому виданим ним сертифікатам довіряє більшість браузерів та операційних систем.
