24 июля вышла версия браузера Google Chrome 68, в которой все HTTP-сайты помечаются как «not secure». Это отвечает долгосрочной стратегии Google по продвижению HTTPS. Ранее предупреждение находилось в индикаторе безопасности в адресной строке браузера.
В релизе Chrome 68 предупреждение стало более заметным. Теперь браузер сразу выводит «Not secure» для всех HTTP-страниц.
На днях Google объявили о том, когда стоит ждать красного предупреждения «not secure» для HTTP-сайтов:
«Наша цель – сделать так, чтобы сайты помечались в Chrome только в том случае, если они не защищены. Отсутствие каких-либо индикаторов должно говорить о защищенности сайта по умолчанию. Со временем мы придем к этому. Начнем мы с того, что удалим в сентябре 2018 пометку «Secure». В октябре 2018 мы будем отображать красное предупреждение «not secure», когда пользователи вводят какие-либо данные на HTTP-страницах».
В настоящий момент Chrome охватывает 60% рынка браузеров по всему миру, что позволяет компании эффективно продвигать свои инициативы с HTTPS. Let’s Encrypt, бесплатный, открытый удостоверяющий центр (Chrome – его платиновый спонсор) также выступал в качестве ключевого «вкладчика» в рост защищенного трафика в последние годы. Firefox Telemetry показывает, что HTTPS-трафик составляет 81% для пользователей США и 73% для всех остальных пользователей.
Отчет Google Transparency демонстрирует аналогичные цифры для объема страниц, загружаемых по HTTPS в Chrome. 84% трафика США защищено HTTPS.
У Google имеется и другое оружие в своем арсенале, чтобы заставить владельцев веб-сайтов перейти на HTTPS. Еще до того, как Chrome начал помечать незашифрованные сайты, поисковая система сделала HTTPS одним из факторов ранжирования сайтов в 2014 году. Поначалу это был легкий сигнал, который затронул не более 1% глобальных запросов. Представители Google также отмечали, что в конкурентных нишах наличие HTTPS у сайта может стать весомым преимуществом. Учитывая, что все больше сайтов переходят на HTTPS, компания может усилить значение этого сигнала в будущем.
Далеко не всем нравится то, что коммерческая компания требует передавать контент по HTTPS. Некоторые опасаются, что приоритет шифрования в результатах поиска – это только начало.
Дейв Винер, один из самых громких критиков данной инициативы, видит в стремлении Google к HTTPS попытку компании взять под контроль открытую сеть. Его беспокойство заключается в том, что это может сделать недоступным «многое из истории интернета».
«Google поддерживает популярный браузер и является лидером в области технологий», — отмечает Винер. – «Они могут, как им кажется, охватить весь интернет и поначалу предупреждать пользователей при доступе к HTTP-контенту. Они пойдут и дальше: потребуют от пользователей согласия на открытие страницы, а потом и вообще будут сразу блокировать страницы».
Другие считают, что одним из весомых факторов по продвижению HTTPS для Google могли стать инвестиции в PWA-технологии, которые требуют включения HTTPS. В прошлом году Google отказались от приложений Chrome в Chrome Web Store и перешли к PWA (прогрессивным веб-приложениям). HTTPS – главное требование для новых возможностей, обновленных API и потоков операций, используемых Google для создания своих продуктов.
Понятно, почему HTTPS имеет решающее значение для коммерции, банков и других сайтов, которые собирают ценные пользовательские данные. Но многие удивляются, зачем все это нужно простым контентным сайтам и блогам. Google утверждает, что всем сайтам нужна защита HTTPS, чтобы предотвратить встраивание рекламы и инъекции эксплойтов.
Критики опасаются, что Google планирует навязывать свои правила безопасного серфинга в сети.
В данный момент Винер планирует использовать HTTP для доставки контента. Сегодня сайты, которые все еще «сидят» на HTTP, выглядят как своего рода «оппозиционеры».
«Мой блог и все мои остальные сайты используют HTTP», — говорит Винер. – «Я не планирую ничего менять. Этот шаг, продвигаемый Google, может привести к тому, что написание материалов в сети только усложнится. Я не хочу, чтобы Google могли «лепить» сеть, как им там захочется. Я не являюсь разработчиком Google и не планирую им становиться. Google — гость в сети, как и мы все, а гости не должны диктовать свои правила».
Что вы думаете по этому поводу? Перевели ли вы свои сайты на HTTPS? Планируете ли вы это делать в будущем?
Источник: wptavern.com
