В свежем выпуске своего браузера Chrome разработчики из Google сделали одну существенную смену безопасности. Браузер начнет блокировать сайты, которые имеют сертификаты HTTPS от крупного издателя. Новый Chrome 70 выйдет уже 16 октября.
В свежей версии браузера будут блокировать сайты, которые используют сертификаты Symantec, выданные до июня 2016 года, включая выданные брендами Thawte, VeriSign, Equifax, GeoTrust и RapidSSL.
Несмотря на предоставленный сайтам год на подготовку, исследователь Скот Хелм нашел 1139 веб-ресурсов из миллиона самых популярных сайтов, использующих старые сертификаты. Среди них – Citrus, SSRN, Федеральный банк Индии, Pantone, Официальный портал Тель-Авиву, Squatty Potty и Penn State Federal. Такие ресурсы, как Ferrari, One Identity и Solidworks изменили сертификаты лишь недавно.
Сертификаты HTTPS шифруют данные между вашим компьютером и сервером, на котором работает сайт. Считается, что это существенно повышает безопасность, и поэтому Google, пользуясь своими возможностями, принудительно перевел интернет на использование HTTPS. Сегодня через защищенный HTTPS передается почти 50% мирового трафика.
Может показаться, что массовое шифрование – это хорошо, однако за него приходится расплачиваться. Например, при работе с сайтами по HTTPS на мобильном устройстве через 3G увеличивается на 50% задержка в пересылке данных и на 30% – потребление энергии. Учитывая, что по стандарту задержка при пересылке данных через UMTS составляет не менее 500 мс, время загрузки веб-страниц возрастает в 1,5 раза. А при воспроизведении видео на мобильных устройствах они тратят на 25% меньше энергии при приеме данных по HTTP.
Также сама идея сертификатов основана на том, что компания для их выдачи является честной и защищенной. Однако, например, в Казахстане в 2016 году запустили государственный центр сертификации HTTPS, что разрешил просматривать весь зашифрованный трафик в стране. В 2011 году центр сертификации Comodo Internet Security (ему доверяло большинство производителей браузеров) подписал сертификаты для неизвестных мошенников на такие домены: google.com, www.google.com, yahoo.com (3шт), skype.com, mozilla.org, live.com. В марте 2015 года Google стало известно, что неизвестные мошенники получили сертификаты на его домены. Их выдал промежуточный центр сертификации, который получил сертификат от CNNIC (China Internet Network Information Center) – агентства, которое управляет доменом cn и подконтрольное Министерству информатизации Китая. CNNIC включен во все основные списки доверенных сертификационных центров, и поэтому выданным им сертификатам доверяет большинство браузеров и операционных систем.