Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Chrome se chystá pohřbít HTTP

(21.9.2016) Prohlížeč Chrome od Googlu se netají ambicemi zvyšovat zabezpečení uživatelů webu. Nyní se odvážil k dalšímu kroku a uživatele upozorňuje na weby, které by měly používat HTTPS, ale nečiní tak. Příští rok bude upozornění na nezabezpečené weby ještě výraznější. Opatření sledují společný cíl, kterým je nahrazení nešifrovaného webu protokolem HTTPS (a HTTP/2).

Symbol varuje před weby odesílající citlivé údaje přes HTTP

Chrome nedávno přepracoval bezpečnostní indikátory podle závěrů studie Rethinking Connection Security Indicators (odkaz ve zdrojích), která hledala ideální symboly z pohledu srozumitelnosti pro uživatele. Ukázalo se, že barva bezpečnostního indikátoru není pro uživatele srozumitelná a nedokáže jim sdělit charakter varování. Důležitý je samotný piktogram (ikona) a informace symbol doplňující. Tématu se věnuje náš předchozí článek Nové indikátory bezpečnosti v Chrome pochází z výzkumu uživatelů.

Google předpokládá, že problém roztříštěnosti a nesrozumitelnosti bezpečnostních varování je tím vyřešen a směle pokračuje v prosazování šifrovaného HTTPS protokolu. Nasazení HTTPS dává smysl v kontextu celého webu a tento protokol nahrazuje nezabezpečené HTTP, nikoliv doplňuje. Jistě jste se setkali s weby, které HTTPS používají pouze pro přihlašovací stránku, což potvrzuje nepochopení problematiky. Pokud na stránce odesílající na server hesla či čísla karet nebude použito HTTPS, upozorní Chrome uživatele novým indikátorem níže.

Takto bude návštěvník upozorněn na weby, které odesílají nešifrovaně hesla a údaje ke kartě

V první fázi "eliminace HTTP" bude Chrome upozorňovat pouze na weby, kde je použití HTTP místo šifrovaného HTTPS vysloveně špatně; těmi jsou výše zmíněné stránky, které přenáší zadaná hesla a údaje o platební kartě nešifrovaně. Další kroky budou následovat v budoucnu.

HTTP bude považováno za nedůvěryhodné

Červené varování je tradičně chápáno jako výrazný bezpečnostní problém - například expirovaný nebo podvržený certifikát. Návštěvníka se snaží upozornit na riziko, které ho může ohrozit a kvůli kterému by neměl na web pokračovat. Do podobné kategorie se časem dostane i HTTP protokol. V lednu roku 2017 má Google vydat Chrome ve verzi 56, který postoupí do další fáze a bude na nedůvěryhodnost HTTP u výše zmíněných webů aktivně upozorňovat novým výstražným trojuhelníkem červené barvy. 

Nezabezpečené HTTP v Chrome

Nezabezpečené HTTP v Chrome - návrh indikace v nadcházejících verzích, kterou Chrome zvažuje

Upozornění výše se týká anonymního módu, ale dlouhodobě Chrome směřuje k označení všech HTTP stránek jako nedůvěryhodných a podobnou myšlenkou se zabývá i Mozilla s Firefoxem. Nešifrované weby tak budou mít výraznou motivaci konečně přejít na HTTPS. Čím dříve se tak stane, tím lépe pro ně i návštěvníky.

HTTPS je dostupné pro všechny a bez nákladů

Iniciativu Googlu chválíme, protože přispívá k rychlejšímu prosazení šifrovaného přenosu dat na internetu. Dnes už může každý snadno získat SSL certifikát a není důvod nasazení HTTPS odmítat či stále zvažovat. HTTP se musíme zbavit a začít používat HTTPS; mimo jiné kvůli modernímu protokolu HTTP/2, který výrazně zrychluje používání webu a který je šifrovaný (prohlížeče šifrování u HTTP/2 vyžadují).

Zákazníci CZECHIA.COM mají možnost získat certifikát pro základní zabezpečení zdarma a na svůj hosting si ho mohou jedním kliknutím snadno nainstalovat. Nic jim nebrání přejít na HTTPS už teď - jedním kliknutím a bez nákladů. Děje se tak díky účasti ZONERu v programu Encryption Everywhere, který je dílem největší CA na světě Symantec.

Všechny známé mýty o HTTPS tak už padly; nasazení není drahé, nezpomaluje server a nezhoršuje SEO. Díky HTTP/2 platí opak a Google dává za HTTPS malý SEO bonus. 

Pro projekty vyžadující autentizaci serveru můžete snadno získat ověřený certifikát od SSLmarket.cz; například EV certifikát s názvem společnosti v adresním řádku. Hlavně už nepoužívejte HTTP.

Zdroj:

  1. Google security blog. Moving towards a more secure web. Dostupné zde.
  2. Felt, Adrienne Porter, et al. "Rethinking Connection Security Indicators." Twelfth Symposium on Usable Privacy and Security (SOUPS 2016). 2016. Dostupné zde.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

  • Let!s Encrypt

    12. 10. 2016 21:04:04 | Petr

    Proč zapomínáte na projekt Let's Encrypt, který nabízí DV certifikáty úplně zdarma a navíc vystavení cerztifikátu probíhá zcela automaticky?

    Odpovědět