Google Chrome выпускает предупреждение «Небезопасно» для простых HTTP-сайтов

В рамках долгосрочного плана подтолкнуть Интернет к использованию шифрования HTTPS, Google Chrome теперь помечает все простые HTTP-сайты как «небезопасные» с 24 июля 2018 года с выпуском Chrome 68 . Ранее предупреждение «небезопасно» было скрыто за индикатором безопасности в строке URL-адреса.

Это предупреждение стало более заметным с выпуском Chrome 68. Теперь браузер немедленно отображает сообщение «Небезопасно» в омнибоксе для всех страниц HTTP.

Сегодня Google объявил временные рамки для того, чтобы в конечном итоге пометить HTTP-сайты красным предупреждением «небезопасно».

В конце концов, наша цель – сделать так, чтобы пометки, которые вы видели в Chrome, были только тогда, когда сайт не защищен, а по умолчанию немаркированное состояние является безопасным. Мы будем внедрять это со временем, начиная с удаления словосочетания «Безопасный» в сентябре 2018 года. А в октябре 2018 года мы начнем показывать красное предупреждение «небезопасно», когда пользователи вводят данные на страницах HTTP.

Google Chrome в настоящее время занимает 60% рынка браузеров во всем мире , что делает его одним из самых эффективных инструментов компании для внедрения HTTPS. Let’s Encrypt , бесплатный и открытый центр сертификации (платиновым спонсором которого является Chrome), также сыграл ключевую роль в ускорении роста защищенного трафика за последние несколько лет. Firefox Telemetry показывает, что трафик HTTPS составляет 81% для пользователей в США и 73% для всех пользователей.

Отчет Google о прозрачности показывает аналогичные цифры для процента страниц, загруженных через HTTPS в Chrome. 84% трафика в США зашифровано по HTTPS.

В арсенале Google есть еще больше оружия, чтобы убедить владельцев веб-сайтов перейти на HTTPS. Еще до того, как Chrome начал отмечать незашифрованные сайты, поисковая система добавила HTTPS в качестве сигнала ранжирования в 2014 году . Он начался как легкий сигнал, затронувший менее 1% глобальных запросов. Google также указал, что HTTPS может разорвать связь между двумя равными результатами поиска , что приведет к разнице в конкурентных нишах. Поскольку все больше сайтов принимают HTTPS в качестве нормы, компания может решить усилить сигнал в будущем.

Не всем нравится, что коммерческая компания делает агрессивные шаги, требуя, чтобы веб-сайты доставляли контент по HTTPS. Некоторые опасаются, что приоритетность шифрования в результатах поиска и одновременное использование Chrome для того, чтобы поставить под сомнение безопасность веб-сайтов, – это только начало.

Дэйв Винер, один из самых ярых критиков Google в отношении этой инициативы, рассматривает переход к HTTPS как попытку компании взять под контроль открытую сеть . Его беспокоит то, что если Google добьется успеха, это может «сделать большую часть истории Интернета недоступной».

«Google делает популярный браузер и является лидером технологической индустрии», – сказал Винер. «Они считают, что они могут окружать Интернет и сначала предупреждать пользователей, когда они обращаются к содержимому HTTP. Скорее всего, они сделают больше, потребовав от пользователя согласия на открытие страницы, а затем полностью заблокировать страницы ».

Другие предполагают, что еще одним движущим фактором, подтолкнувшим Google к внедрению HTTPS, могут быть его инвестиции в развитие технологий PWA , для которых требуется включение HTTPS. В прошлом году Google отказался от приложений Chrome из Интернет-магазина Chrome в пользу создания PWA, которые можно было бы установить на рабочий стол. HTTPS – это требование для рабочих процессов разрешений, новых функций и обновленных API, которые компания использует для создания своих будущих продуктов.

Легко понять, насколько HTTPS важен для сайтов электронной коммерции, банковского дела и других сайтов, которые собирают очень конфиденциальные данные от пользователей, но многие задаются вопросом, нужен ли он для простых блогов и веб-сайтов с контентом. Google утверждает, что все веб-сайты нуждаются в защите HTTPS, чтобы предотвратить размещение злоумышленниками рекламы или эксплойтов.

Мало кто будет оспаривать ценность HTTPS, но критики опасаются, что Google зарекомендует себя как арбитр безопасного просмотра веб-страниц.

На данный момент Винер, похоже, стремится использовать HTTP для доставки своего контента. В лихорадочном стремлении Google подтолкнуть весь Интернет к переходу на HTTPS сайты, которые принципиально придерживаются HTTP, теперь выглядят как своего рода протест.

«Этот блог и все другие мои сайты используют протокол HTTP, – сказал Винер. «Я не думаю, что это изменится. Я ожидаю, что это сделает написание статей для Интернета более утомительным. Думаю, это жизнь. Я не хочу, чтобы Google мог подстраивать Интернет под свои нужды. Я никогда не подписывался на то, чтобы стать разработчиком Google, и никогда не стану. Основное правило: Google – гость в Интернете, как и все мы, и гости не устанавливают правила ».