Нещодавно Google Developers, які відповідають за проект Chromium, оголошено через допис у блозі їхні наміри здійснити кілька кроків для збільшення використання HTTPS за замовчуванням.
Серед головних проблем вони згадують, що незважаючи на те, що близько 90% трафіку користувачів Chrome/Chromium надходить із сайтів HTTPS, інші 5-10% решти трафіку припадає на сайти HTTP, що означає перегляд «Не впевнений».
Про це розробники зазначають у дописіКінцева мета Google – увімкнути HTTPS-First для всіх користувачів, який автоматично перенаправляє HTTP-запити на HTTPS, і хоча ще не всі сайти підтримують HTTPS і існують конфігурації, де під час доступу до HTTP та HTTPS повертається різний вміст, було вирішено вжити низку проміжних заходів перед широким впровадженням автоматичного перенаправлення на HTTPS.
Ми вважаємо, що Інтернет має бути безпечним за умовчанням. Режим HTTPS-First дозволяє Chrome виконувати саме цю обіцянку, отримуючи ваш явний дозвіл перед підключенням до сайту в небезпечний спосіб. Наша мета — увімкнути цей режим для всіх за замовчуванням. Хоча сьогодні Інтернет ще не готовий повсюдно ввімкнути режим HTTPS-First, ми оголошуємо кілька важливих кроків на шляху до цієї мети.
І це починаючи з Chrome 115, режим HTTPS-First було ввімкнено gза замовчуванням поступово для невеликого відсотка користувачів. Для забезпечення роботи з сайтами, які не підтримують HTTPS, реалізовано відкат до HTTP, якщо після пересилання не вдається завершити запит через HTTPS або виникають проблеми з сертифікатами.
Для тих, хто не знає про HTTPS-First, я можу сказати вам, що він вирішує проблему надання різного вмісту через HTTP і HTTPS. Наприклад, якщо HTTPS увімкнено, але не налаштовано на сервері, режим HTTPS-First наразі застосовуватиметься автоматично, лише якщо попередні звернення HTTPS зареєстровано в історії веб-перегляду поточного сайту.
Завантажені файли можуть містити зловмисний код, який обходить пісочницю Chrome та інші засоби захисту, що дає мережевим зловмисникам унікальну можливість скомпрометувати ваш комп’ютер у разі небезпечних завантажень. Це попередження має на меті поінформувати людей про ризик, на який вони йдуть.
Ви все одно зможете завантажити файл, якщо ризикуєте. Якщо режим HTTPS-First не ввімкнено, Chrome не відображатиме попереджень, якщо такі файли, як зображення, аудіо чи відео, завантажуються ненадійно, оскільки ці типи файлів є відносно безпечними. Сподіваємося, що з середини вересня ми запровадимо ці попередження.
На цьому етапі режим HTTPS-First увімкнено для користувачів, які ввійшли у свій обліковий запис і погодилися брати участь у програмі додаткового захисту Google.
Крім того, згадується, що Chrome 117 планує реалізувати попередження при спробі завантажити файли через незахищене з’єднаннядо. Для файлів із деякими небезпечними розширеннями (.exe, .zip) відображатимуться попередження та повідомлятимуть користувача про ризик підробки цих файлів через використання незашифрованого каналу зв’язку. Це дозволить користувачеві відхилити попередження та продовжити завантаження через HTTP. Зображення, відео та музичні файли не отримають цих попереджень.
Для тих, хто зацікавлений у можливості ввімкнути режим HTTPS-First, не чекаючи його активації за замовчуванням у браузері, вони можуть зробити це в конфігураторі (chrome://settings/security), увімкнувши параметр «Завжди використовувати безпечні з’єднання» або використовуючи експериментальний «chrome:/ /flags/#https-upgrades» і «chrome://flags/#insecure-download-warnings».
Нарешті, згадується, що у майбутній версії Chrome планується ввімкнути HTTPS-First за замовчуванням для сторінок, відкритих в режимі інкогніто, оскільки зараз тривають експерименти з автоматичного ввімкнення HTTPS-First для сайтів, які, як відомо, підтримують HTTPS, а також увімкнення HTTPS-First для користувачів, які рідко використовують HTTP у своєму браузері.
Якщо вам цікаво дізнатися більше про це, ви можете переглянути подробиці в наступне посилання.