Prehliadač Chrome od Googlu sa netají ambíciami zvyšovať zabezpečenie používateľov webu.
V roku 2016 sa odvážil k ďalšiemu kroku a používateľa upozorňuje na weby, ktoré by mali používať HTTPS, ale nerobia tak. Tento rok bude upozornenie na nezabezpečené weby ešte výraznejšie. Opatrenia sledujú spoločný cieľ, ktorým je nahradenie nešifrovaného webu protokolom HTTPS (a HTTP / 2).
Symbol varuje pred webmi odosielajúcimi citlivé údaje cez HTTP
Chrome nedávno prepracoval bezpečnostné indikátory podľa záverov štúdie Rethinking Connection Security Indicators, ktorá hľadala ideálne symboly z pohľadu zrozumiteľnosti pre používateľov. Ukázalo sa, že farba bezpečnostného indikátora nie je pre používateľov zrozumiteľná a nedokáže im oznámiť charakter varovania. Dôležitý je samotný piktogram (ikona) a informácie tento symbol doplňujúce.
Google predpokladá, že problém fragmentácie a nezrozumiteľnosti bezpečnostných varovaní je tým vyriešený a smelo pokračuje v presadzovaní šifrovaného HTTPS protokolu. Nasadenie HTTPS dáva zmysel v kontexte celého webu a tento protokol nahrádza nezabezpečené HTTP, nie dopĺňa. Iste ste sa stretli s webmi, ktoré HTTPS používajú iba pre prihlasovaciu stránku, čo potvrdzuje nepochopenie problematiky.
Takto bude návštevník upozornený na weby, ktoré odosielajú nešifrovane heslá a údaje ku karte
V prvej fáze „eliminácia http“ bude Chrome upozorňovať len na weby, kde je použitie HTTP miesto šifrovaného HTTPS vyslovene nesprávne; tými sú stránky, ktoré prenášajú zadané heslá a údaje o platobnej karte nešifrovane. Ďalšie kroky budú nasledovať v budúcnosti.
HTTP bude považované za nedôveryhodné
Červené varovanie je tradične chápané ako výrazný bezpečnostný problém – napríklad exspirovaný alebo podvrhnutý certifikát. Návštevníka sa snaží upozorniť na riziko, ktoré ho môže ohroziť a kvôli ktorému by nemal na webe pokračovať. Do podobnej kategórie sa časom dostane aj HTTP protokol. Na začiatku roka 2017 má Google vydať Chrome vo verzii 56, ktorý postúpi do ďalšej fázy a bude na nedôveryhodnosť HTTP u vyššie spomínaných webov aktívne upozorňovať novým výstražným trojuholníkom červenej farby.
Nezabezpečené HTTP v Chrome – návrh indikácie v nadchádzajúcich verziách, ktorú Chrome zvažuje
Upozornenie sa týka anonymného módu, ale dlhodobo Chrome smeruje na označenie všetkých HTTP stránok ako nedôveryhodných a podobnou myšlienkou sa zaoberá aj Mozilla s Firefoxom. Nešifrované weby tak budú mať výraznú motiváciu konečne prejsť na HTTPS. Čím skôr sa tak stane, tým lepšie pre nich i návštevníkov.
HTTPS je dostupné pre všetkých a bez nákladov
Iniciatívu Googlu chválime, pretože prispieva k rýchlejšiemu presadeniu šifrovaného prenosu dát na internete. Dnes už môže každý ľahko získať SSL certifikát a nie je dôvod nasadenie HTTPS odmietať či stále zvažovať. HTTP sa treba zbaviť a začať používať HTTPS; okrem iného kvôli modernému protokolu HTTP / 2, ktorý výrazne zrýchľuje používanie webu a ktorý je šifrovaný (prehliadače šifrovanie u HTTP / 2 vyžadujú).
Zákazníci CZECHIA.COM majú možnosť získať certifikát pre základné zabezpečenie zdarma a na svoj hosting si ho môžu jedným kliknutím ľahko nainštalovať. Nič im nebráni prejsť na HTTPS už teraz – jedným kliknutím a bez nákladov. Deje sa tak vďaka účasti Zoneru v programe Encryption Everywhere, ktorý je dielom najväčšej CA na svete Symantec.
Všetky mýty o HTTPS tak už padli; nasadenie nie je drahé, nespomaľuje server a nezhoršuje SEO. Vďaka HTTP / 2 platí opak a Google dáva za HTTPS malý SEO bonus.
Pre projekty vyžadujúce autentizáciu servera môžete ľahko získať overený certifikát od SSLmarket.sk; napríklad EV certifikát s názvom spoločnosti v adresnom riadku.
Autor: Ing. Peter Tomaščík, špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
Tento článok vyšiel aj v tlačenom januárovo-februárovom vydaní TOUCHIT č. 1-2/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.
