В последних версиях Chrome – самого популярного браузера нынешнего интернета – появилось новое угрожающее сообщение для пользователей. При посещении некоторых сайтов они в адресной строке могут видеть оповещения «не защищен» (Not secure) с восклицательным знаком рядом. Но стоит ли бояться таких сайтов и имеет ли новое предупреждение практический смысл?
Аббревиатура HTPP означает HyperText Transfer Protocol и является протоколом из 90-х годов, по которому пересылаются данные. Информация отправляется в открытом виде, поэтому любой, перехватив пакет данных, может посмотреть их содержимое и внести собственные изменения. Получатель при этом может не заподозрить то, что его данные кто-то смотрел или отредактировал. Подобный подход называется «человек внутри», и от него защищает протокол HTTPS, который шифрует трафик HTTP с помощью стандартов SSL/TLS.
Об общемасштабной маркировке сайтов на защищенные и незащищенные стало известно осенью 2016 года. Нынешний этап маркировки в Chrome 68 также является переходным, финальное уведомление должен получить красный цвет текста и красный треугольник с восклицательным знаком.
Google, который является лидером в поиске и монопольно владеет самым популярным браузером мира и самой популярной мобильной ОС, навязал всему интернету HTTPS. Сейчас в зашифрованном виде передается:
- более 68% трафика в Chrome на Android и Windows;
- более 78% трафика Chrome на Chrome OS и Mac;
- 81 из 100 крупнейших сайтов интернета установили HTTPS по умолчанию.
При этом не учитывается, что HTTPS требует больше энергии. При работе с сайтами по этому протоколом на мобильном устройстве через 3G увеличивается на 50% задержка в пересылке данных и на 30% – потребление энергии. Учитывая, что по стандарту задержка при пересылке данных через UMTS составляет не менее 500 мс, время загрузки веб-страниц возрастает в 1,5 раза. А при воспроизведении видео на мобильных устройствах они тратят на 25% меньше энергии при приеме данных по HTTP.
На практике проверка Chrome мало что будет значить для пользователей. Во-первых, браузер выдаст уведомление о незащищенное соединение даже для сайтов, которых не существует. Единственное, что играет роль, – аббревиатура http или https перед именем сайта.
Во-вторых, использование HTTPS не означает безопасности сайта. Хотя Chrome будет выдавать «Защищен», сайт может оказаться сломан хакерами и распространять вредоносное программное обеспечение. Также получить сертификат HTTPS могут фишинговые и прочие вредоносные сайты.
Кроме этого, встает вопрос доверия к центрам, которые выдают сертификаты. Например, в Казахстане с 2016 года запущен государственный центр сертификации HTTPS, что позволит просматривать весь зашифрованный трафик в стране.
В 2011 году центр сертификации Comodo Internet Security (их корневой сертификат объявлен заслуживающим доверия большинством производителей браузеров) подписал сертификаты для неизвестных мошенников на такие домены:
- mail.google.com, www.google.com
- login.yahoo.com (3шт)
- login.skype.com
- addons.mozilla.org
- login.live.com
В марте 2015 года Google стало известно, что неизвестные мошенники получили сертификаты на его домены. Их выдал промежуточный центр сертификации, который получил сертификат от CNNIC (China Internet Network Information Center) – агентства, управляющего доменом cn и подконтрольного Министерству информатизации Китая. CNNIC включен во все основные списки доверенных сертификационных центров, и поєтому выданным им сертификатам доверяет большинство браузеров и операционных систем.
Мошенники могли предоставить эти сертификаты, и браузеры воспринимали их как правильные. Пользователи не могут определить, что посещаемый ими сайт поддельный.
В качестве заключения: глобальное навязывание HTTPS в некоторых случаях является полезным. Однако это всего лишь означает, что соединение зашифровано. Факт шифрования не защищает данные автоматически, поскольку существует много способов перехватить данные до шифрования или захватить контроль над самим процессом шифрования.
