Переход на более безопасный веб-протокол HTTPS достиг плато, по данным Google. По состоянию на 2020 год от 95 до 99 процентов переходов в Chrome используют HTTPS. Чтобы сделать переходы по ссылкам более безопасными для пользователей, Chrome включит для всех пользователей по умолчанию настройку «Всегда использовать безопасные соединения» для общедоступных сайтов. Это произойдет в октябре 2026 года с выходом Chrome 154.
Изменения произойдут раньше для тех, кто включил расширенные функции защиты в Chrome. Google включит «Всегда использовать безопасные соединения» по умолчанию в апреле, когда выйдет Chrome 147. Когда эта настройка включена, Chrome будет запрашивать ваше разрешение перед первым доступом к общедоступному веб-сайту, который не использует HTTPS.
Google движется в этом направлении уже некоторое время. В 2018 году Chrome начал предупреждать пользователей о небезопасных HTTP-сайтах, а в апреле 2021 года начал использовать HTTPS по умолчанию. В следующем году он начал предлагать функцию «Всегда использовать безопасные соединения» на добровольной основе.
Когда HTTPS не используется, злоумышленник может с относительной легкостью перенаправить соединение и атаковать пользователя вредоносным ПО, фишинговыми атаками или другими эксплойтами. «Подобные атаки не являются гипотетическими — программное обеспечение для перехвата навигации легко доступно, и злоумышленники ранее использовали небезопасный HTTP для компрометации пользовательских устройств в рамках целевой атаки», — говорится в сообщении команды Chrome. «Поскольку злоумышленникам нужна всего одна небезопасная навигация, им не нужно беспокоиться о том, что многие сайты перешли на HTTPS — любая одна HTTP-навигация может предоставить точку входа. Что еще хуже, многие незашифрованные HTTP-соединения сегодня полностью невидимы для пользователей, так как HTTP-сайты могут немедленно перенаправлять на HTTPS-сайты». «Всегда использовать безопасные соединения» — одна из попыток команды Chrome смягчить подобные риски.
HTTP-соединения по-прежнему используются при навигации на частные сайты, такие как локальные IP-адреса и корпоративные интрасети. Для частного сайта сложно получить HTTPS-сертификат (что Engadget имеет с 2016 года, для любопытных), поскольку одно и то же частное имя может указывать на разные хосты в разных сетях. Например, многие производители маршрутизаторов используют «192.168.0.1» в качестве локального IP-адреса для доступа к панели администратора оборудования. Тем не менее, HTTP-навигация по частным сайтам по своей сути менее рискованна, чем в общедоступной сети. Они не полностью безопасны, но единственным вектором атаки для HTTP на частных сайтах является атака изнутри локальной сети.
