«Зелёные замочки» в разных браузерах

Протокол HTTPS обеспечивает безопасное зашифрованное соединение браузера интернет-пользователя с веб-сервером, что очень важно при пересылке конфиденциальной информации: учётных данных, паспортных данных, номеров банковских карт и т. п.

Очевидно, нужно информировать пользователя о статусе соединения, чтобы он знал и понимал, насколько безопасны его действия.

Большинство современных браузеров так или иначе отображают тип текущего протокола: HTTP или HTTPS. Но делают они это по-разному!

Обычно сведения о типе соединения представлены в адресной строке браузера.

Примеры отображения типа соединения в браузерах Chrome, Firefox, Opera и Internet Explorer приведены в следующей таблице.

HTTPHTTPS
http://example.comhttps://example.com
Chromeexampleexample
FireFoxexample example
Operaexampleexample
Internet Explorerexampleexample

HTTPS

В протоколе HTTPS используется SSL-сертификаты, которые позволяют зашифровать данные, пересылаемые через интернет. Они бывают разных типов.

Тип SSL-сертификатаПояснение
DVDomain ValidationУдостоверен домен
OVOrganization ValidationУдостоверена организация, владеющая доменом
EVExtended ValidationУглублённая проверка организации, владеющей доменом

SSL-сертификаты всех указанные типов обеспечивают надёжное шифрование данных. Отличаются они уровнем проверки владельца домена.

Сертификатом типа DV можно подтвердить домен, зарегистрированный частным лицом, а сертификаты типов OV и EV выдаются только для доменов, зарегистрированных организациями.

DV

SSL-сертификат типа DV — самый распространённый. Он подтверждает тот факт, что посетитель находится на сайте в указанном домене, а не перенаправлен на какой-то иной сайт.

HTTPS / SSL DV
Chromeexample
Firefoxexample
Operaexample
Internet Explorerexample
example

Очевидно, в приведённых примерах наиболее заметная индикация защищённого соединения — в браузере Google. А наименее заметная — в Internet Explorer, в котором значок закрытого замка из серого превращается в жёлтый только, если пользователь навёл на него указатель.

Вполне приемлемой можно признать индикацию защищённого соединения в браузерах Firefox и Opera. В Opera она — компактнее, но нет текстового отображения протокола.

OV

SSL-сертификат типа OV выдаётся только организациям, то есть по сравнению с сертификатом типа DV, он подтверждает не только домен, но и его владельца. Это может быть весьма актуальным, например, при посещении интернет-магазина. К сожалению, в настоящее время соединение по сертификату типа OV отображается браузерами так же, как и соединение по сертификату DV.

Чтобы узнать, какой организации принадлежит домен, пользователь должен посмотреть свойства сертификата. Это возможность доступна всем посетителям сайта, но большинству из них воспользоваться ей будет сложно.

Остаётся надеяться на то, что разработчики веб-браузеров обратят внимание на эту проблему и найдут ей оптимальное решение.

EV

SSL-сертификат типа EV обычно имеют очень крупные организации, так как процедура его получения довольно сложная, дорогая и трудоёмкая.

При посещении веб-сайта, защищённого сертификатом типа EV, в адресной строке отображается название организации, на которую зарегистрирован домен.

Обычно название организации или вся адресная строка окрашены зелёным цветом, поэтому этот вид сертификата иногда называют сертификатом с «зелёной строкой».

HTTPS / SSL EV
Chromesberbank https
symantec https
citibank https
Firefoxsberbank https
symantec https
citibank https
Operasberbank https
symantec https
citibank https
Internet Explorersberbank https
symantec https
citibank https

Как известно, на вкус и цвет товарища нет. Нам представляется оптимальным способ отображения соединения по сертификату типа EV в браузере Opera.

В браузере Internet Explorer отображение наименее компактное, но зелёное поле адресной строки впечатляет. Кроме того, там представлен значок организации.

Ошибки HTTPS

Мы рассказали о случаях, когда при посещении сайта устанавливается защищённое соединение по протоколу HTTPS.

Иногда при таком соединении могут возникать ошибки. Причин тому может быть несколько.

Незначительные ошибки

Последнее время распространились ошибки, связанные с неполной защитой содержания страниц. Например, владелец сайта защитил свой сайт и свою страницу сертификатом, но включил в содержание страницы изображение с другого, незащищённого, сайта. В результате, несмотря на полную защиту основного содержания страницы, соединение становится менее конфиденциальным.

Ещё хуже ситуация, когда из стороннего источника в состав страницы включается активное содержание, например, скрипты JavaScript.

Такого рода ошибки не помещают установлению соединения по протоколу HTTPS, и желанная страница будет отображена. При этом, большинство браузеров сообщит об обнаруженной проблеме специальным значком.

Chromebadssl
Firefoxbadssl
Operabadssl
Internet Explorersberbank https

Значительная ошибка

Как уже было сказано, в протоколе HTTPS используются криптографические сертификаты SSL, которые имеют ряд параметров, например, имя издателя сертификата, имя получателя, защищённый домен и другие. Эти параметры должны соответствовать определённым правил, нарушение которых может привести к тому, что защищённое соединение не будет установлено, и содержимое веб-страницы не будет отображено.

Наиболее простым примером критической ошибки является окончание срока действия сертификата. Ниже приведены сообщения браузеров об этой ошибке.

Chromebadssl chrome
Firefoxbadssl ff
Operabadssl op
Internet Explorerbadssl ie

Заключение

Проблема наглядного, удобного, полного и своевременного информирования пользователя о статусе его соединения с веб-сайтом — не праздная и не надуманная. От того, насколько пользователь понимает, в каком соединении он посещает сайт, зависит его безопасность и конфиденциальность.