Суббота, 13 декабря


Сегодняшний рабочий день у меня начался со статьи под заголовком «Google Chrome пометит HTTP-сайты как небезопасные»․ С первого прочтения мне показалось, что это какая-то глупость, но позже я таки обратил свое внимание на источник в первом предложении статьи. Источник представлял из себя ссылку на официальный сайт проекта «Chromium», на базе которого работает «Google Chrome», с официальным же комментарием службы безопасности. Прочитав оригинальное заявление я сначала ничего не понял, а только потом меня начало озарять. Но обо всем по порядку.

Служба безопасности «Chrome» собирается в данном браузере маркировать сайты, работающие по http как небезопасные аналогично тем, которые работают на https, но с самостоятельно подписанными сертификатами. Такое же решение они советуют внедрить и разработчикам других веб-браузеров. Проще говоря, «Google» предлагает отображать надо всеми сайтами, у которых нет поддержки https, красное предупреждение о том, что соединение не защищено. И это еще хорошо, если затронуты будут только сообщения в адресной строке, весело будет, если перед соединением с таким сайтом будет еще и выводиться уведомление о том, что сайт небезопасен.

Несмотря на то, что большинство наиболее популярных ресурсов сети Интернет уже может работать через https, на сегодняшний день остается еще огромное количество ресурсов, которые работают исключительно по http. Такие ресурсы существенно потеряют в посещаемости в том случае, если посетителей будут информировать о том, что сайты небезопасны. Посетители, не глядя на текст сообщения, будут сразу же отказываться от просмотра сайта, поскольку будут ожидать от него вирусов и неприемлемого содержания, но даже не подумают о том, что виной всему всего-то протокол шифрования. Хуже потери посещаемости может быть только потеря бдительности, ведь человек, который привыкнет игнорировать такое оповещение, рано или поздно проигнорирует его и там, где нужно быть максимально бдительным. Как результат — распространение вирусов и кражи данных кредитных карт при покупках в Интернете. Почему я так уверен, что это сообщение подействует негативно? Рассказываю. Как-то так получилось, что в одной сети с одним из наших региональных серверов оказался сервер, распространяющий вредоносное программное обеспечение. К нам это, ясное дело, никакого отношения не имело, так как наша машина только проксировала запросы к базе данных и ничего больше, тем не менее, при обращении к ней по IP-адерсу выводилось сообщение о том, что именно на этом сайте установлено вредоносное программное обеспечение. Самое интересное, что даже в описании проблемы было указано, что это сообщение касается не конкретно нашей машины, а адреса XXX.XXX.XXX.0 (у нас 218), который с нами никак не ассоциирован, но если бы там находился какой-то рабочий сайт, то его посещаемость, несомненно, существенно снизилась бы, и при этом совершенно незаслуженно. Но я начал не об этом. Итак, мне нужно время от времени посещать панель статистики, которая расположена на IP-адресе. При каждом заходе я получал уведомление о вредоносном контенте и старательно жал кнопку продолжения банкета Интернет-серфинга (Mozilla Firefox этот выбор запоминает и больше никаких предупреждений не выводит, Google Chrome же запоминает выбор только на время текущей сессии и после перезапуска браузера все начинается заново). Продолжалось это до тех пор, пока я чуть не совершил покупку по кредитной карте на поддельном сайте хостинга, поскольку при заходе на него по привычке отказался от ухода с ресурса и продолжил работу с реально вредоносным сайтом. Если уж я попался на такое дело, то что уж там говорить о тех людях, которым даже после прочтения предупреждения до конца не понятно, какова же причина того, что запрошенный ими сайт не открылся в окне браузера.

Безусловно, есть такие сервисы, как StartSSL. Этот сервис я успешно протестировал, но выявил, что 100%-ной защиты он не дает. Сертификаты они, конечно же, выдают быстро и бесплатно, однако примерно в 25% случаев при тестировании сертификат распознавался браузером как недоверенный, что давало тот же эффект, что от самоподписанного сертификата. Qualus SSL Labs воспринимает бесплатный сертификат от StartSSL как доверенный, то же делает и Google Chrome в версии под Linux, в то же время Mozilla Firefox и Google Chrome в версиях под ОС Windows хором кричат о том, что сертификату нельзя доверять чуть более, чем полностью. Если говорить о более доверенных платных сертификатах, то минимальный по стоимости, который мне удалось отыскать, регистрируется на год за $5.95. Конечно, это не так и дорого, если учитывать, что сайт только один, если же их больше, то заказывать нужно по сертификату на каждый, так как выдаются они на конкретное доменное имя с/без www. Про www я написал не зря, так как субдомены учитываются только в сертификате Wildcard, который стоит несколько дороже.

Под самый конец раздумий я вспомнил, что на то же «Хабрахабре» не так давно видел заметку о том, что Google собирается подтолкнуть вебмастеров к переходу на https путем выдачи бесплатных сертификатов. Пока что никакой информации об этом нет, все только на уровне сплетен, но я охотно верю в такие резкие переходы только в том случае, если это кому-то выгодно (не конечному пользователю при этом). Что можно сделать, имея свой сертификат и систему статистики на одном ресурсе, я думаю, можно понять. Брови


13.12.2014, 22:49
  Google, Chrome, SSL, HTTPS.
Просмотров: 1983.