Twórcy Chrome chcą ostrzegać przed witrynami, które nie używają HTTPS
Nadchodzą ciężkie czasy dla administratorów niektórych witryn internetowych. Na oficjalnej stronie projektu Chromium możemy zapoznać się z nietypowym pomysłem autorów tej przeglądarki: zachęcają oni twórców innych aplikacji tego typu, aby od przyszłego roku rozpocząć oznaczanie stron korzystających z HTTP jako niebezpieczne. Jedynym słusznym rozwiązaniem ma być stosowanie szyfrowania.
Obecnie oznaczenia wyświetlane w przeglądarkach można podzielić na trzy różne poziomy: pierwszy symbolizowany przez zieloną kłódkę (lub pasek z nazwą instytucji) oznacza, że strona i połączenie są zabezpieczone. Druga sytuacja to kłódka z żółtym wykrzyknikiem: jest ona wyświetla w sytuacji, gdy część zasobów (np. obrazki) jest pobierana kanałami nieszyfrowanymi. W takiej sytuacji zewnętrzne skrypty JavaScript, które nie korzystają z HTTP nie są obecnie pobierane przez wiodące przeglądarki. Ostatnia sytuacja to nieważny, oszukany, uszkodzony, wygasły lub samodzielnie utworzony certyfikat – kłódka jest oznaczana na czerwono, a użytkownik otrzymuje dodatkowo ostrzeżenie, że wejście na taką stronę może być niebezpieczne.
Twórcy Chromium proponują, aby od przyszłego roku wszystkie strony korzystające z transmisji nieszyfrowanej były oznaczone jako niebezpieczne. Oczywiście powoduje to duże problemy: wiele stron nie oferuje szyfrowania, a więc przeglądarki mogłyby zasypywać Internautów ostrzeżeniami. Z drugiej strony, często nie zwracają oni uwagi na to, czy strony oferują odpowiedni poziom bezpieczeństwa, mogłoby to więc poprawić świadomość użytkowników. Pomysłodawcy zachęcają jednak do stopniowych zmian w przeglądarkach np. na początek oznaczając nieszyfrowane strony w taki sam sposób jak te, które zawierają treści mieszane. W dłuższej perspektywie powinny być one jednak zdecydowanie odradzane, a użytkownicy ostrzegani – przyszłość należy bowiem do HTTPS.
Jeżeli wdrożenie tego pomysłu zyskałoby poparcie twórców innych przeglądarek, to za jakiś czas moglibyśmy w ogóle pożegnać się z oznaczeniami. Odpowiednio znakowane byłyby jedynie niezabezpieczone witryny, szyfrowanie zostałoby uznane za standard. Twórcy tej przeglądarki nie są pierwsi w promowaniu wdrażania HTTPS. Po ujawnieniu afery związanej z NSA coraz więcej firm i użytkowników zwraca uwagę na problem szyfrowania w sieci – niedawno wystartowała inicjatywa Let’s Encrypt, która ma znacznie ułatwić wdrożenie szyfrowania na stronach, a dzięki temu, że jest to rozwiązanie zupełnie bezpłatne, na HTTPS będą mogli pozwolić sobie także administratorzy niewielkich stron internetowych.
Czy warto zabezpieczać ruch? Tak, to już nie tylko kwestia bezpieczeństwa danych, ale również pozycjonowania w wyszukiwarkach internetowych. Firma Google w sierpniu dała wyraźnie do zrozumienia, że HTTPS stał się dla niej kolejnym czynnikiem decydującym o ocenie strony – wszystkie witryny używające szyfrowanego połączenia mogą liczyć na wyższe pozycje w tej wyszukiwarce. Ma to stanowić zachętę do implementacji tego rozwiązania. Jak na ewentualne komunikaty zareagują Internauci? Z oceną tego czynnika będziemy musieli jeszcze nieco poczekać.