Nedávno Google Developers, kteří mají na starosti projekt Chromium, oznámeno prostřednictvím příspěvku na blogu jejich záměry implementovat několik kroků ke zvýšení používání HTTPS ve výchozím nastavení.
Mezi jejich hlavní obavy zmiňují, že navzdory skutečnosti, že asi 90 % provozu uživatelů Chrome/Chromium pochází z webů HTTPS, dalších 5–10 % zbývajícího provozu pochází z webů HTTP, což se promítá do procházení « Nejsem si jistý“ .
Vývojáři to v příspěvku zmiňujíe Konečným cílem společnosti Google je umožnit všem uživatelům HTTPS-First, který automaticky přesměrovává HTTP požadavky na HTTPS a přestože ještě ne všechny weby HTTPS podporují a existují konfigurace, kde se při přístupu k HTTP a HTTPS vrací jiný obsah, bylo rozhodnuto implementovat řadu přechodných opatření před plošným zavedením automatického přesměrování na HTTPS.
Jsme přesvědčeni, že web by měl být ve výchozím nastavení zabezpečený. Režim HTTPS-First umožňuje Chromu splnit přesně tento slib tím, že před připojením k webu nezabezpečeným způsobem získá vaše výslovné povolení. Naším cílem je povolit tento režim ve výchozím nastavení pro všechny. Přestože web dnes ještě není připraven univerzálně aktivovat režim HTTPS-First, oznamujeme několik důležitých kroků k tomuto cíli.
A od Chrome 115 byl povolen režim HTTPS-First gstandardně postupně pro malé procento uživatelů. Pro zajištění práce se stránkami, které nepodporují HTTPS, byl implementován přechod na HTTP, pokud po přeposlání není možné dokončit požadavek přes HTTPS nebo jsou problémy s certifikáty.
Pro ty, kteří neznají HTTPS-First, mohu říci, že řeší problém poskytování různého obsahu přes HTTP a HTTPS. Pokud je například povoleno HTTPS, ale není na serveru nakonfigurováno, režim HTTPS-First se prozatím použije automaticky, pouze pokud jsou v historii procházení aktuálního webu zaznamenány předchozí požadavky HTTPS.
Stažené soubory mohou obsahovat škodlivý kód, který obchází karanténu Chromu a další ochranu, což dává síťovému útočníkovi jedinečnou příležitost kompromitovat váš počítač, když dojde k nebezpečnému stahování. Toto varování má informovat lidi o riziku, které podstupují.
Stále budete moci stáhnout soubor, pokud jste s rizikem spokojeni. Pokud není povolen režim HTTPS-First, Chrome nebude zobrazovat varování při nezabezpečeném stahování souborů, jako jsou obrázky, zvuk nebo video, protože tyto typy souborů jsou relativně bezpečné. Doufáme, že tato varování zavedeme od poloviny září.
V této fázi je pro uživatele, kteří jsou přihlášeni ke svému účtu a souhlasili s účastí v programu pokročilé ochrany Google, povolen režim HTTPS-First.
Dále je uvedeno, že Chrome 117 plánuje implementovat varování při pokusu o stahování souborů přes nezabezpečené připojenína. U souborů s některými nebezpečnými příponami (.exe, .zip) se zobrazí varování a informují uživatele o riziku zfalšování těchto souborů v důsledku použití nešifrovaného komunikačního kanálu. To uživateli umožní zrušit varování a pokračovat ve stahování přes HTTP. Soubory obrázků, videí a hudby tato varování neobdrží.
Pro ty, kteří mají zájem povolit režim HTTPS-First bez čekání na jeho aktivaci ve výchozím nastavení v prohlížeči, mohou tak učinit v konfigurátoru (chrome://settings/security), povolením nastavení „Vždy používat zabezpečená připojení“ nebo použitím experimentálního „chrome:/ /flags/#https-upgrades“ a „chrome://flags/#insecure-download-warnings“.
Nakonec je to zmíněno v budoucí verzi Chrome se plánuje povolení HTTPS-First ve výchozím stavu pro stránky otevřené v anonymním režimu, protože v současné době probíhají experimenty s automatickým povolením HTTPS-First pro weby, o nichž je známo, že podporují HTTPS, a také povolením HTTPS-First pro uživatele, kteří HTTP ve svém prohlížeči používají jen zřídka.
Pokud máte zájem dozvědět se o tom více, můžete se podívat na podrobnosti v následující odkaz.