- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 51
Популярность HTTPS достигла , и вскоре его использование станет «нормой», а не исключением, как было в прошлом. Только за последние несколько месяцев произошло несколько действительно важных вещей, о которых речь пойдет ниже.
Доля HTTPS-запросов преодолела отметку 50%
Вот один из первых признаков того, что мы наконец-то достигли критической отметки:
terday, for the first time, telemetry shows more than 50% of page loads were encrypted with HTTPS.
— Let's Encrypt (@letsencrypt)
Это действительно значимо: через Firefox, как видно, теперь передается больше защищенного трафика, нежели незащищенного. Конечно, далеко не все сайты используют протокол HTTPS — огромную часть трафика передают несколько крупных сайтов (Twitter, Facebook, Gmail), что и делает эту цифру достаточно высокой.
Число сайтов, использующих HTTPS, удвоилось за последний год
Эксперт по безопасности Скотт Хэлм регулярно анализирует развитие безопасности сайтов из списка . Помимо прочего, он также смотрит на то, сколько сайтов из списка перенаправляют HTTP-запросы пользователей на HTTPS. Скотт запускает сканирование каждые 6 месяцев, и вот что он обнаружил за последние два года:
Их количество выросло вдвое за промежуток с августа 2015 года по август 2016 года, а за последние полгода их стало ещё на треть больше! Да, пока таких сайтов всего 18,4%, но темпы роста весьма впечатляющие.
Браузеры стали помечать небезопасные сайты
26 января 2017 года вышло обновление Chrome 56, и браузер стал делать так:
Hi , I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?
— Troy Hunt (@troyhunt)
Да, издевается над Qantas, и да, они это заслужили! Их сайт уже давно использует очень плохую реализацию HTTPS, что неприемлемо для сервиса, который используется в ситуациях, уязвимых к атакам типа , например, в аэропортах и гостиницах.
Chrome 56 предупреждает пользователей об ошибках безопасности сайта, когда они предоставляют конфиденциальную информацию. Firefox нечто подобное, начиная с версии 51, которая вышла 24 января 2017 года:
Hi , I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?
— Troy Hunt (@troyhunt)
Но намечается гораздо более существенное изменение: Chrome будет помечать все страницы, передаваемые через HTTP, как небезопасные.
HTTP будет источником все большего количества проблем
Вот несколько примеров запросов к обычным старым веб-сайтам, которые могут быть перехвачены и модифицированы в процессе атаки MitM.
Например, сайты, использующие сеть Comcast:
Comcast is injecting Bandwidth cap warnings into websites. Remember, when I signed up for this I asked if there was a cap and they said no.
— Scott Manley (@DJSnM)
Или любой незащищенный сайт, запрашиваемый при первом подключении к WiFi-сети отеля:
Первый запрос получил все куки, валидные для этого сайта, и он легко мог быть перенаправлен куда-то еще. Все вкладки слева загружались по HTTPS, поэтому они остались неактивными и выдали соответствующую ошибку, а не поставили под удар личные данные:
Мы все чаще подключаемся к все более ненадежным сетям, и нам необходимо иметь более высокий уровень защиты. К счастью, большинство сайтов начинают это осознавать, причем даже те, которые не обрабатывают конфиденциальную информацию.
HTTPS стал быстрее
Разработка не нова, но в последнее время сочетание роста скорости реализаций HTTP и повышения общей производительности помогло ускорить ее развитие. И мы получаем это:
HTTPS is slow. No — wait — is it HTTP that's slow?!
— Troy Hunt (@troyhunt)
Поддержка HTTP/2 протоколом HTTPS (и, что более важно, отсутствие в браузерах поддержки протокола HTTP/2 для незашифрованных соединений) склонила чашу весов в пользу более безопасного подхода. А если у вас нет сервера, который поддерживает HTTP/2, вы можете получить его бесплатно в Cloudflare. И это подводит нас к следующему.
Cloudflare и Let’s Encrypt сделали HTTPS доступным
Два самых серьезных препятствия при переходе на HTTPS — это «цена» и «усилия». Первое очевидно, второе же относится к процессу получения и настройки сертификата, а также необходимости повторять это каждый год. Cloudflare и Let’s Encrypt полностью изменили этот процесс.
Вообще, эти сервисы значительно отличаются друг от друга: Cloudflare перехватывает и шифрует ваш трафик, а Let’s Encrypt упрощает установку и обновление сертификатов. Они выполняют разные задачи, и делают это хорошо, но при этом не особо «прислушиваются» к пользователю. Здорово то, что они упрощают процесс перехода на HTTPS, и это повышает общую безопасность.
Стоит отметить, что недавно CloudFlare о серьёзной утечке пользовательских данных, которая уже получила имя Cloudbleed. Однако, получив о ней сообщение, компания исправила её в течение всего лишь семи часов.
— .
Доля HTTPS-запросов преодолела отметку 50%
Вот один из первых признаков того, что мы наконец-то достигли критической отметки:
terday, for the first time, telemetry shows more than 50% of page loads were encrypted with HTTPS.
— Let's Encrypt (@letsencrypt)
Это действительно значимо: через Firefox, как видно, теперь передается больше защищенного трафика, нежели незащищенного. Конечно, далеко не все сайты используют протокол HTTPS — огромную часть трафика передают несколько крупных сайтов (Twitter, Facebook, Gmail), что и делает эту цифру достаточно высокой.
Число сайтов, использующих HTTPS, удвоилось за последний год
Эксперт по безопасности Скотт Хэлм регулярно анализирует развитие безопасности сайтов из списка . Помимо прочего, он также смотрит на то, сколько сайтов из списка перенаправляют HTTP-запросы пользователей на HTTPS. Скотт запускает сканирование каждые 6 месяцев, и вот что он обнаружил за последние два года:
Их количество выросло вдвое за промежуток с августа 2015 года по август 2016 года, а за последние полгода их стало ещё на треть больше! Да, пока таких сайтов всего 18,4%, но темпы роста весьма впечатляющие.
Браузеры стали помечать небезопасные сайты
26 января 2017 года вышло обновление Chrome 56, и браузер стал делать так:
Hi , I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?
— Troy Hunt (@troyhunt)
Да, издевается над Qantas, и да, они это заслужили! Их сайт уже давно использует очень плохую реализацию HTTPS, что неприемлемо для сервиса, который используется в ситуациях, уязвимых к атакам типа , например, в аэропортах и гостиницах.
Chrome 56 предупреждает пользователей об ошибках безопасности сайта, когда они предоставляют конфиденциальную информацию. Firefox нечто подобное, начиная с версии 51, которая вышла 24 января 2017 года:
Hi , I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?
— Troy Hunt (@troyhunt)
Но намечается гораздо более существенное изменение: Chrome будет помечать все страницы, передаваемые через HTTP, как небезопасные.
HTTP будет источником все большего количества проблем
Вот несколько примеров запросов к обычным старым веб-сайтам, которые могут быть перехвачены и модифицированы в процессе атаки MitM.
Например, сайты, использующие сеть Comcast:
Comcast is injecting Bandwidth cap warnings into websites. Remember, when I signed up for this I asked if there was a cap and they said no.
— Scott Manley (@DJSnM)
Или любой незащищенный сайт, запрашиваемый при первом подключении к WiFi-сети отеля:
Первый запрос получил все куки, валидные для этого сайта, и он легко мог быть перенаправлен куда-то еще. Все вкладки слева загружались по HTTPS, поэтому они остались неактивными и выдали соответствующую ошибку, а не поставили под удар личные данные:
Мы все чаще подключаемся к все более ненадежным сетям, и нам необходимо иметь более высокий уровень защиты. К счастью, большинство сайтов начинают это осознавать, причем даже те, которые не обрабатывают конфиденциальную информацию.
HTTPS стал быстрее
Разработка не нова, но в последнее время сочетание роста скорости реализаций HTTP и повышения общей производительности помогло ускорить ее развитие. И мы получаем это:
HTTPS is slow. No — wait — is it HTTP that's slow?!
— Troy Hunt (@troyhunt)
Поддержка HTTP/2 протоколом HTTPS (и, что более важно, отсутствие в браузерах поддержки протокола HTTP/2 для незашифрованных соединений) склонила чашу весов в пользу более безопасного подхода. А если у вас нет сервера, который поддерживает HTTP/2, вы можете получить его бесплатно в Cloudflare. И это подводит нас к следующему.
Cloudflare и Let’s Encrypt сделали HTTPS доступным
Два самых серьезных препятствия при переходе на HTTPS — это «цена» и «усилия». Первое очевидно, второе же относится к процессу получения и настройки сертификата, а также необходимости повторять это каждый год. Cloudflare и Let’s Encrypt полностью изменили этот процесс.
Вообще, эти сервисы значительно отличаются друг от друга: Cloudflare перехватывает и шифрует ваш трафик, а Let’s Encrypt упрощает установку и обновление сертификатов. Они выполняют разные задачи, и делают это хорошо, но при этом не особо «прислушиваются» к пользователю. Здорово то, что они упрощают процесс перехода на HTTPS, и это повышает общую безопасность.
Стоит отметить, что недавно CloudFlare о серьёзной утечке пользовательских данных, которая уже получила имя Cloudbleed. Однако, получив о ней сообщение, компания исправила её в течение всего лишь семи часов.
— .