HTTP-сайты будут считаться небезопасными

Уже несколько лет многие разработчики браузеров пропагандируют использование на веб-сайтах защищённого протокола передачи данных HTTPS. По нему все данные, пересылаемые между сайтом и браузером посетителя, шифруются.

Для реализации HTTPS на сайте требуется применить пару криптографических ключей, для которой имеется SSL-сертификат, выданный центром сертификации.

Безопасность, связанная с защитой пересылаемых по интернету данных, особенно важна при передаче регистрационных данных (например, логин/пароль), при использовании интернет-банков и т. п.

Одним из активных сторонников HTTPS является разработчик веб-браузера Chrome — компания Google. Она не только пропагандирует этот протокол, но и подталкивает к нему владельцев сайтов с помощью изменений пользовательского интерфейса своего браузера.

08 февраля 2018 года Google объявила, что с июля 2018 года, на который запланировал выход Chrome версии 68, все сайты, использующие протокол HTTP, будут помечаться как небезопасные.

Not secure

По данным, собранным Google и опубликованным в “HTTPS encryption on the web”, в настоящее время:

  • более 68% трафика Chrome, работающего в Android или Windows, защищено;
  • более 78% трафика Chrome, работающего в Chrome OS или Mac, защищено;
  • 81 из 100 сайтов используют HTTPS по умолчанию.

Вот какой была динамика востребованности HTTPS в последние годы.

Доля страниц переданных по https

При переходе на HTTPS нужно иметь в виду то, что HTML-страница может состоять из множества элементов — картинок, скриптов, стилевых файлов, аудио- и видеофайлов — в том числе, находящихся на других сайтах, и в том числе, отдающих своё содержимое по незащищённому протоколу HTTP. Такое содержимое называется смешанным.

Например,

  • адрес страницы:

    https://site.ru/index.html;

  • картинка:

    <img src = "http://site.ru/flowers/rose.jpg">;

  • стилевой файл:

    <link rel="stylesheet" href="http://site.ru/css/some.css">;

  • скрипт:

    <script src="http://site.ru/js/some.js"></script>.

То есть защищённая страница может содержать незащищённые элементы. И этого следует избегать.

Если для изображений, аудио или видео незащищённая передача не столь критична, то передавать по HTTP любые текстовые вставки (html, css, xml, js, json, …) уже давно не следует.

Некоторые браузеры блокируют незащищённое содержимое защищённой страницы.

Приобрести SSL-сертификат для использования на своём сервере для организации защищённого HTTPS-протокола можно здесь.

Зарегистрироваться