Протокол HTTPS: Google за безпеку

На сьогодні в інтернеті тільки 33% веб-сайтів використовують захищений протокол HTTPS для передачі даних. У Google не задоволені такою статистикою, і тому пропонують попереджати користувачів про це. Експерти в цілому ради такого нововведення, проте вони кажуть, що користувачі будуть спантеличені.
Вразливі дані. Пропозиція маркувати з’єднання через HTTP як вразливі, з’явилося на сайті розробки Chrome від інженерів Google, які над ним працюють. Таке сповіщення має виглядати як вікно, яке спливає, з написаним на ньому попередженням. Воно повинно з’являтися під час перегляду сайтів, які через HTTP.
За словами інженерів, дивно, що сучасні браузери ще не попереджають користувачів про те, що їх дані знаходяться в небезпеці. «Єдина ситуація, коли веб-браузери можуть не повідомляти про небезпеку, – це коли немає шансів на захищену передачу даних», – пишуть вони.
Для пересилання інформації протокол HTTPS використовує добре відпрацьовані криптографічні системи. Інженери Google говорять, що попередження необхідні, оскільки відомо, що кібер-злочинці і державні агентства зловживають уразливими незахищених каналів зв’язку, щоб красти дані і шпигувати за людьми.
З ініціативою розробників Chrome погоджується старший аналітик антивірусної фірми Trend Micro Рік Фергюсон. Він каже, що попереджати людей про погане і вразливому з’єднання – це хороша ідея. «Судячи з усього, люди думають, що передача даних в інтернеті, наприклад, по HTTP і e-mail, надійна і приватна, – говорить він. – Хоча насправді ситуація зовсім протилежна».
Експерт вважає, що попередження користувачів про уразливому з’єднання буде спонукати вебмайстрів переходити на захищені протоколи зв’язку. Адже сьогодні, за даними Trustworthy Internet Movement, в інтернеті тільки 33% ресурсів працюють з використанням протоколу HTTPS.
Головний біль. Ініціативу інженерів Google також підтримує Підлогу Муттон, який працює аналітиком в моніторингової фірмі Netcraft. Він каже, що це дивно, коли незашифроване HTTP з’єднання не попереджає про це. «У короткостроковій перспективі найбільшу головний біль будуть мати власники веб-сайтів, – говорить він. – Якщо вони захочуть перейти з незашифрованого HTTP HTTPS, це їм буде коштувати грошей і часу навіть незважаючи на існування спеціальних проектів, які допомагають у цьому. Це буде короткочасна проблема, однак у довгостроковій перспективі від неї виграють всі».
З впровадженням протоколу HTTPS інтернет-сервіси стають дорожче: їм необхідно створювати інфраструктуру для підтримки HTTPS і купувати сертифікати. Останні коштують близько $2000 на рік. Їх внутрішня мережа також не пристосована до роботи по шифрованих протоколів, і тому їм доводиться створювати локальний кеш. Його розмір може досягати 2 ТБ кожен день.
Пропозиція Google відкрила обговорення на форумах інших браузерів і отримало підтримку від розробників Firefox і Opera. Багато великих веб-сайтів і сервісів, включаючи Twitter, Yahoo, Facebook і GMail вже використовують за замовчуванням HTTPS. А з вересня Google віддає перевагу таким сайтам і ставить їх на більш високі місця в пошуковій видачі.
Підводні камені протоколу HTTPS. Протокол HyperText Transfer Protocol (HTTP) представили на початку 90-х років, однак з того часу онлайн світ значно змінився і став життєво необхідним інструментом для комунікації, торгівлі, освіти та доступу до інформації. Для пересилання особистих даних з’явився захищений протокол HTTPS, який шифрує трафік HTTP, стандартів SSL/TLS.
Може здатися, що масове шифрування – це добре, однак за нього доводиться розплачуватися. Наприклад, при роботі з сайтами по протоколу HTTPS на мобільному пристрої через 3G збільшується на 50% затримка у пересиланні даних і на 30% – споживання енергії. Враховуючи, що за стандартом затримка при пересиланні даних через UMTS становить не менше 500 мс, час завантаження веб-сторінок зростає в 1,5 рази. А при відтворенні відео на мобільних пристроях вони витрачають на 25% менше енергії при прийомі даних по HTTP.