HTTPS или бюст: план Chrome помечать сайты как «небезопасные»

1. Как мы сюда попали (и почему)?
2. Важные вехи на пути к повсеместному распространению HTTPS, а также процент загрузки страниц с использованием...
3. Что будет дальше? Чего мне ожидать после июля 2018 года?
4. 1. Google объявит об исчезновении значка блокировки в 2018 году и удалит его в январе 2019 года с выпуском Chrome 72
5. 3. Microsoft и Apple продолжат отставать от Google и Mozilla, но начнут вводить аналогичные изменения
6. 4. Браузеры начнут пытаться подключиться через HTTPS, прежде чем пытаться HTTP
7. 5. Больше CA (включая возникающие) последуют примеру Let's Encrypt в выдаче бесплатных сертификатов...
8. Хорошо, я понимаю, что произойдет, но как теперь узнать, будет ли на моем сайте предупреждение в июле?
9. Хром
10. Fire Fox
11. Что я могу сделать, чтобы избежать этого предупреждения?

Google только что объявил начиная с июля 2018 года, с выпуском Chrome 68, веб-страницы, загруженные без HTTPS, будут помечены как «небезопасные».

Более половины посетителей веб-сайтов вскоре увидят это предупреждение при просмотре незашифрованных сайтов HTTP, согласно данным Cloudflare, которые показывают, что 56,62% запросов на десктоп исходят от Chrome. Пользователи, представленные с этим предупреждением, с меньшей вероятностью будут взаимодействовать с этими сайтами или доверять их контенту, поэтому крайне важно, чтобы операторы сайтов, еще не использующие HTTPS, планировали сделать это к июлю.

Как мы сюда попали (и почему)?

Для тех, кто следил за публичными заявлениями команды Chrome, это объявление не удивительно. Google готовится к этому изменению с 2014 года, как босс Chrome Париса Тебриз чирикнул и Крис Палмер увековечен в широко распространенном электронном письме. Хотя этот шаг является важным и потенциально неприятным для пользователей, он ни в коем случае не является последним шагом, который Google предпримет для улучшения поведения администратора сайта.

Но почему они делают это изменение (сейчас)? Основная мотивация Google для внедрения HTTPS проста: безопасная работа в Интернете полезна для бизнеса. Пользователи, которые чувствуют себя в безопасности в Интернете, тратят больше времени на просмотр и взаимодействие с рекламой и другими услугами, которые Google платит за доставку. (Чтобы быть ясным: эти мотивы ни в коей мере не умаляют выдающуюся работу команды Chrome, члены которой увлечены защитой пользователей по множеству некоммерческих причин. Мы приветствуем их усилия по обеспечению безопасности в Интернете и рады видеть, что другие браузеры следуют их примеру.)

Google должен почувствовать, что настало время внести изменения, благодаря загрузке страниц HTTPS, которая продолжает стабильно расти и минимальными последствиями от их предыдущие, дополнительные шаги , Эмили Шехтер, менеджер по продуктам Chrome Security, которая объявила об изменении, пишет : «Мы верим, что к июлю [2018] использование https будет достаточно высоким, что все будет в порядке». В настоящее время отношение взаимодействия пользователей с безопасными источниками к незащищенным составляет 69,7%; пять месяцев назад это было всего 62,5%, и поэтому легко представить себе Криса Палмера рекомендуемый порог 75% будет встречен к июлю.

Такое изменение было бы слишком разрушительным всего год назад, но благодаря усилиям Google и других участников экосистемы webPKI (включая Cloudflare) был проложен путь к 100% принятию. Сегодня HTTPS быстро простой в развертывании и экономичный, если не бесплатный, и больше нет оправдания тому, чтобы не использовать SSL / TLS. Даже статические сайты нуждаются в шифровании, чтобы предотвратить отслеживание ваших пользователей или же инъекционная реклама на ваш сайт.

Важные вехи на пути к повсеместному распространению HTTPS, а также процент загрузки страниц с использованием HTTPS

Дата Действие% HTTPS1 2H 2013 NSA: Эдвард Сноуден выпускает тысячи страниц секретных документов, подтверждая, что NSA пассивно собирает текстовые сообщения. В то время очень немногие сайты использовали HTTPS по умолчанию, включая трафик между дата-центрами Google, что значительно облегчало мониторинг этих сообщений. ~ 25% 2014/08/06 Google публикует Сообщение блога раскрывая, что они начинают использовать доступность сайта через HTTPS в качестве положительного ранжирующего сигнала для целей SEO. 31,7% 2014/09/24 Cloudflare объявляет Универсальный SSL, который предоставляет бесплатные сертификаты SSL и терминацию SSL / TLS для двух миллионов сайтов в нашей сети. 31,8% 2014/12/12 Google Крис Палмер электронная почта blink-dev с «Предложением: пометить HTTP как незащищенный». Это оригинальное предложение было увековечено Вот , 32,3% 2015/02/26 Джоэл Вайнбергер из Google электронная почта список рассылки blink-dev с «Намерением отказаться» для определенных функций, если они не используются с безопасными источниками (например, HTTPS). Первоначально этот список включает в себя: движение / ориентацию устройства, EME, полноэкранный режим, геолокацию и getUserMedia. 33,7% 2015/04/30 Mozilla's Ричард Барнс издает «Устаревший небезопасный HTTP», объявляющий о намерении Mozilla постепенно «отказаться от небезопасного HTTP» из Firefox. 35,4% 2015/10/19 ISRG Джош Аас объявляет что Let's Encrypt, новый бесплатный центр сертификации, теперь пользуется доверием всех основных браузеров благодаря перекрестному знаку от IdenTrust. 37,9% 2015/12/03 Let's Encrypt официально запускает в публичную бета-версию. 39,5% 2016/06/14 Apple объявляет на WWDC16, что к концу 2016 года App Store потребует, чтобы приложения были собраны с помощью App Transport Security (ATS), чтобы их можно было принять. ATS запрещает использование открытого текста HTTP и, таким образом, способствует внедрению HTTPS. 45,0% 2016/06/22 Google Эдриен Портер Фелт и соавт. подарок Переосмысление индикаторов безопасности соединения на двенадцатом симпозиуме USENIX по пригодной для использования конфиденциальности и безопасности. В этом документе Adrienne и команда «выбирают и предлагают три показателя», которые уже были приняты Chrome (включая ярлык «Небезопасно»). 45,1% 2016/09/08 Эмили Шехтер из Google публикует Двигаясь к более безопасной сети , в котором она пишет: «Начиная с января 2017 года (Chrome 56), мы будем помечать страницы HTTP, которые собирают пароли или кредитные карты, как незащищенные, как часть долгосрочного плана помечать все сайты HTTP как незащищенные. «.

Она также повторяет план Google в конечном итоге «пометить все страницы HTTP как незащищенные и изменить индикатор безопасности HTTP на красный треугольник, который мы используем для сломанных HTTPS».

44,8% 2017/01/20 Mozilla: A сообщение в блоге Mozilla Security под названием «Распространение информации об опасностях незащищенного HTTP» информирует пользователей о том, что в следующих выпусках Firefox будет отображать контекстное сообщение, когда пользователь нажимает на поле имени пользователя или пароля на странице, которая не использует HTTPS ». Предупреждения в контексте Firefox даже более заметны, чем реализованные в Chrome. 50,78% 2017/01/31 Google: как было объявлено в сентябре 2016 года, Chrome 56 начинает помечать страницы как «небезопасные», если они i) содержат поле пароля или ii) если пользователь взаимодействует с полем кредитной карты. 51,9% 2017/03/30 Cloudflare: Чтобы помочь поставщикам SaaS в внедрении HTTPS для пользовательских доменов своих клиентов, Cloudflare объявляет о нашем SSL для провайдера SaaS предложение. Исторически сложилось так, что провайдерам SaaS было трудно и долго получать (и обновлять) SSL-сертификаты от имени своих конечных пользователей, и поэтому очень немногие предлагали бесплатный SSL для всех клиентов. 55,1% 2017/04/27 Эмили Шектер от Google объявляет что «Начиная с октября 2017 года, Chrome отобразит предупреждение« Не безопасно »в двух дополнительных ситуациях: когда пользователи вводят данные на странице HTTP и на всех страницах HTTP, посещаемых в режиме инкогнито». 56,3% 2018/01/15 Анны ван Кестерен из Mozilla издает сообщение в блоге «Безопасные контексты везде», в котором он объясняет, что «вступают в силу немедленно, все новые функции, которые доступны через Интернет, должны быть ограничены безопасными контекстами». 69,9% 2018/02/08 Эмили Шектер от Google пишет что «Начиная с июля 2018 года с выпуском Chrome 68, Chrome будет помечать все HTTP-сайты как« небезопасные ». 69,7%

Firefox загружает по HTTPS 1% страниц, 14-дневное скользящее среднее. Источник: Firefox Telemetry данные а также Давайте зашифруем , Google также публикует цифры на Chrome: https://transparencyreport.google.com/https/overview ,

Что будет дальше? Чего мне ожидать после июля 2018 года?

«Блокировка» в адресной строке всегда была направлена ​​на то, чтобы мотивировать сайты переходить на HTTPS, но по пути исследования показал что положительные показатели доверия не работают. Введение Google «Небезопасно» является одним из важных шагов на пути к конечной цели отказа от HTTP, но, как упоминалось ранее, не будет последним.

Мы ожидаем, что нападение Google на HTTP будет продолжаться в течение всего года, и завершится объявлением о том, что блокировка будет полностью снята (и заменена отрицательным показателем, отображаемым только в том случае, если сайт не использует HTTPS). Ниже приведены некоторые дополнительные сведения об этом ожидаемом следующем шаге, а также некоторые дополнительные прогнозы для экосистемы webPKI.

1. Google объявит об исчезновении значка блокировки в 2018 году и удалит его в январе 2019 года с выпуском Chrome 72

Крис Палмер отправить письмо blink-dev в 2014 году было включено «соломенное предложение» о введении отрицательных показателей и постепенном отказе от маркировки безопасного происхождения:

Безопасный> 65%: небезопасные источники, отмеченные как сомнительные
Безопасный> 75%: небезопасные источники, отмеченные как небезопасные
Безопасный> 85%: безопасное происхождение неотмечено

В соответствии с планом Chrome 68 будет стабильно работать, когда загрузка страниц HTTPS достигнет 75%. (Наш первоначальный прогноз на эту дату, основанный на соединениях с нашими данными о периферии и телеметрии от Firefox, составил 74,8%; однако мы ожидаем, что объявление Chrome на прошлой неделе ускорит это соотношение до> 75% до 24 июля.)

Заглядывая вперед, предполагаемые стабильные даты для будущих выпусков Chrome:

• Chrome 69 - 4 сентября 2018 года
• Chrome 70 - 16 октября 2018 года
• Chrome 71 - 4 декабря 2018 года

Примерно через 6-7 недель между стабильными выпусками Chrome 72 должен выйти где-то в конце января 2019 года. К этому времени мы ожидаем, что загрузка страниц HTTPS будет> 85%, что является достаточно высоким показателем, когда Google может быть уверен, что изменения не произойдет. слишком разрушительный. Учитывая значимость этого изменения пользовательского интерфейса, мы ожидаем, что они объявят об этом где-то в середине 2018 года.

Google - не единственный крупный браузер, который предпринимает шаги, чтобы подключить Интернет только к HTTPS.

Еще в апреле 2015 года команда Mozilla объявленный их намерение (в конечном итоге) осудить HTTP. С тех пор Firefox принял аналогичные показания интерфейса в Chrome для страниц с паролями, объявленный что «все новые функции, доступные через Интернет, должны быть ограничены безопасным контекстом» и объединены (по умолчанию отключено) код помечать сайты, загруженные по HTTP, как «небезопасные».

Начиная с Firefox 59, эта «небезопасная» маркировка может быть включена вручную (инструкции приведены ниже), но Mozilla официально не установила дату, когда она будет включена по умолчанию. Мы ожидаем, что они объявят дату в ближайшее время.

3. Microsoft и Apple продолжат отставать от Google и Mozilla, но начнут вводить аналогичные изменения

Исторически сложилось так, что Microsoft и Apple стали медленнее внедрять новые политики безопасности браузеров, отчасти из-за того, что они выпускают (и обновляют) свои браузеры гораздо реже, чем Google и Mozilla.

Тем не менее, Apple в прошлом показала лидерство в продвижении HTTPS, что видно по их Объявление WWDC2016 требующие приложения iOS для использования ATS и TLS 1.2. Мы надеемся, что Microsoft и Apple последуют примеру Google и Mozilla, поскольку Edge, IE и Safari вместе представляют почти 20% запросов настольных компьютеров, выходящих на грань Cloudflare.

4. Браузеры начнут пытаться подключиться через HTTPS, прежде чем пытаться HTTP

Аналогично тому, как Apple отдает приоритет IPv6 над IPv4 , основные браузеры начнут пробовать адреса, введенные без схемы через HTTPS, прежде чем вернуться к HTTP. Команда Google Chrome имеет уже указано они планируют сделать это, и мы ожидаем (надеюсь!), что они объявят график этого изменения где-то в 2018 году.

5. Больше CA (включая возникающие) последуют примеру Let's Encrypt в выдаче бесплатных сертификатов с использованием протокола ACME.

Одна из основных претензий со стороны операторов сайтов, когда они реагируют на изменения в Chrome и Firefox, которые могут повлиять на их трафик, заключается в том, что «SSL-сертификаты дороги». Несмотря на то, что Cloudflare начали выпускать бесплатные сертификаты для наших пользователей с обратным прокси в конце 2014 года, и вскоре после этого пошла Let's Encrypt, по-прежнему не так много других простых, доступных вариантов.

Мы ожидаем, что дополнительные центры сертификации начнут охватывать Протокол ACME для проверки и выдачи, помогая ужесточить протокол и ускорить его принятие. Мы также ожидаем, что новые бесплатные центры сертификации появятся на рынке, и по крайней мере один из них будет обслуживаться крупным хорошо финансируемым сотрудником, таким как Google.

CA / Browser Forum - это группа CA и браузеров, которые сотрудничают (помимо прочего) с документом, известным как " Базовые требования "или" BR ". Эти BR диктуют минимальные требования, которых должны придерживаться CA, и недавнее изменение на них вступает в силу 1 марта 2018 года; с этой даты максимальный срок действия сертификата уменьшается с 39 месяцев до ~ 27 месяцев (825 дней).

первоначальное предложение Райан Слеви из Google должен был сократить срок службы до 12 месяцев, но это было встречено с сильным противодействием со стороны ЦС (за исключением Let's Encrypt, который уже ограничивает срок службы в 3 месяца, и DigiCert, который поддерживал 13 месяцев). Компромисс был достигнут и вскоре вступит в силу, но мы ожидаем, что эта тема снова придет на голосование в течение 18 или 13 месяцев. Центры сертификации, вероятно, снова выступят против этого ограничения (за некоторыми исключениями для более автоматизированных), но браузеры и операторы корневого хранилища доверия могут в любом случае форсировать изменения, поскольку это усиливает безопасность пользователей.

Поскольку операторы сайтов вручную заменяют свои истекающие трехлетние сертификаты, мы надеемся и ожидаем, что они увидят преимущества и простоту автоматизации жизненного цикла сертификатов, побуждая их к более широкому развертыванию HTTPS в своих организациях.

Хорошо, я понимаю, что произойдет, но как теперь узнать, будет ли на моем сайте предупреждение в июле?

Самый простой способ узнать, будет ли на вашем сайте скоро отображаться ярлык «Незащищенный», - просмотреть его в текущей версии Chrome или Firefox. Если вы не видите блокировку, ваш сайт скоро получит более зловещее предупреждение. Чтобы получить предварительный просмотр этого предупреждения, вы можете попробовать перейти на свой сайт с версией разработки любого из этих браузеров, следуя приведенным ниже инструкциям.

Хром

• Используйте Chrome 65 или новее.
  • Самый простой способ сделать это - установить Chrome Canary, который запускает самые передовые сборки. Кроме того, вы можете установить канал разработки Наряду со стабильным, но это может сбивать с толку, поскольку приложения выглядят одинаково.
• Перейдите к chrome: // flags / # enable-mark-http-as.
• Измените настройку с По умолчанию на Включено и нажмите кнопку RELAUNCH NOW.
• Перейдите на сайт, который не использует HTTPS, например neverssl.com.

Fire Fox

Firefox еще не объявил дату, когда это изменение вступит в силу, но вы можете просмотреть, как оно будет выглядеть, когда они это сделают.

• Используйте Firefox 59 или позже.
• Введите «about: config» в адресной строке.
• Нажмите «Я принимаю на себя риск!» для просмотра расширенного конфига.
• Найдите «security.insecure_connection» и измените все ложные значения на true.
• Перейдите на сайт, который не использует HTTPS, например neverssl.com.

Что я могу сделать, чтобы избежать этого предупреждения?

Проще говоря, все, что вам нужно сделать, чтобы избежать этого предупреждения, это защитить свой сайт с помощью HTTPS с помощью действующего сертификата SSL. Cloudflare делает это невероятно простой сделать это.

Если вы зарегистрируетесь у нас и укажете свои серверы имен на Cloudflare, мы позаботимся об остальном бесплатно: проверка вашего домена с одним из наших партнеров по сертификации, выдача сертификата, охватывающего вершину вашего домена и любых поддоменов (например, пример .com и * .example.com), развертывание этого сертификата в наших более чем 120 центрах обработки данных по всему миру для обеспечения оптимальной производительности и автоматическое обновление сертификата при необходимости.

Если вы не можете зарегистрироваться у нас напрямую, например, вы используете поддомен поставщика SaaS, который еще не развернул HTTPS для всех пользователей, вы можете предложить им взглянуть на наш SSL для провайдеров SaaS предложение.

И наконец, если вы хотите помочь другим избежать этих предупреждений, мы нанимаем инженеров-программистов и менеджеров по продуктам из команды разработчиков безопасности в Cloudflare. Проверьте наши открытые позиции Вот и помогите нам довести HTTPS до 100%!

Похожие

Комментарии