HTTPS обошел HTTP: распространение безопасного протокола достигло переломного уровня

Популярность HTTPS достигла переломного момента, и вскоре его использование станет «нормой», а не исключением, как было в прошлом. Только за последние несколько месяцев произошло несколько действительно важных вещей, о которых речь пойдет ниже.

Доля HTTPS-запросов преодолела отметку 50%

Вот один из первых признаков того, что мы наконец-то достигли критической отметки:

Это действительно значимо: через Firefox, как видно, теперь передается больше защищенного трафика, нежели незащищенного. Конечно, далеко не все сайты используют протокол HTTPS — огромную часть трафика передают несколько крупных сайтов (Twitter, Facebook, Gmail), что и делает эту цифру достаточно высокой.

Число сайтов, использующих HTTPS, удвоилось за последний год

Эксперт по безопасности Скотт Хэлм регулярно анализирует развитие безопасности сайтов из списка Alexa Top 1 Million. Помимо прочего, он также смотрит на то, сколько сайтов из списка перенаправляют HTTP-запросы пользователей на HTTPS. Скотт запускает сканирование каждые 6 месяцев, и вот что он обнаружил за последние два года:

Их количество выросло вдвое за промежуток с августа 2015 года по август 2016 года, а за последние полгода их стало ещё на треть больше! Да, пока таких сайтов всего 18,4%, но темпы роста весьма впечатляющие.

Браузеры стали помечать небезопасные сайты

26 января 2017 года вышло обновление Chrome 56, и браузер стал делать так:

Да, Трой Хант издевается над Qantas, и да, они это заслужили! Их сайт уже давно использует очень плохую реализацию HTTPS, что неприемлемо для сервиса, который используется в ситуациях, уязвимых к атакам типа «человек посередине» (MITM), например, в аэропортах и гостиницах.

Chrome 56 предупреждает пользователей об ошибках безопасности сайта, когда они предоставляют конфиденциальную информацию. Firefox начал делать нечто подобное, начиная с версии 51, которая вышла 24 января 2017 года:

Но намечается гораздо более существенное изменение: Chrome будет помечать все страницы, передаваемые через HTTP, как небезопасные.

HTTP будет источником все большего количества проблем

Вот несколько примеров запросов к обычным старым веб-сайтам, которые могут быть перехвачены и модифицированы в процессе атаки MitM.

Например, сайты, использующие сеть Comcast:

Или любой незащищенный сайт, запрашиваемый при первом подключении к WiFi-сети отеля:

Первый запрос получил все куки, валидные для этого сайта, и он легко мог быть перенаправлен куда-то еще. Все вкладки слева загружались по HTTPS, поэтому они остались неактивными и выдали соответствующую ошибку, а не поставили под удар личные данные:

Мы все чаще подключаемся к все более ненадежным сетям, и нам необходимо иметь более высокий уровень защиты. К счастью, большинство сайтов начинают это осознавать, причем даже те, которые не обрабатывают конфиденциальную информацию.

HTTPS стал быстрее

Разработка не нова, но в последнее время сочетание роста скорости реализаций HTTP и повышения общей производительности помогло ускорить ее развитие. И мы получаем это:

Поддержка HTTP/2 протоколом HTTPS (и, что более важно, отсутствие в браузерах поддержки протокола HTTP/2 для незашифрованных соединений) склонила чашу весов в пользу более безопасного подхода. А если у вас нет сервера, который поддерживает HTTP/2, вы можете получить его бесплатно в Cloudflare. И это подводит нас к следующему.

Cloudflare и Let’s Encrypt сделали HTTPS доступным

Два самых серьезных препятствия при переходе на HTTPS — это «цена» и «усилия». Первое очевидно, второе же относится к процессу получения и настройки сертификата, а также необходимости повторять это каждый год. Cloudflare и Let’s Encrypt полностью изменили этот процесс.

Вообще, эти сервисы значительно отличаются друг от друга: Cloudflare перехватывает и шифрует ваш трафик, а Let’s Encrypt упрощает установку и обновление сертификатов. Они выполняют разные задачи, и делают это хорошо, но при этом не особо «прислушиваются» к пользователю. Здорово то, что они упрощают процесс перехода на HTTPS, и это повышает общую безопасность.

Стоит отметить, что недавно CloudFlare сообщила о серьёзной утечке пользовательских данных, которая уже получила имя Cloudbleed. Однако, получив о ней сообщение, компания исправила её в течение всего лишь семи часов.