Chrome poprawi to, co ludzie olali. HTTPS będzie mieć pierwszeństwo

"Połączenie nie jest szyfrowane" - to komunikat, który jeszcze parę lat temu znaleźlibyśmy, na co drugiej stronie w internecie, dziś pozostaje w zdecydowanej mniejszości. Według danych Google od 5 do 10 proc. wszystkich witryn internetowych nadal korzysta z właściwie przestarzałego protokołu HTTP, podczas gdy 90 proc. stron odbyło przesiadkę na protokół HTTPS.

Google od kilku lat zaciekle walczy by - pomimo faktu, że nie wszystkie połączenia są szyfrowane - sto procent ruchu w internecie odbywało się na stronach z protokołem HTTPS. W 2019 roku koncern zapowiedział, że Chrome przestanie wyświetlać zasoby HTTP, a w 2021 roku HTTPS stał się domyślnym protokołem, który przeglądarka dorzuci podczas autouzupełniania paska adresu. Teraz Chrome idzie o krok dalej, przerabiając adresy HTTP na HTTPS.

16 sierpnia na blogu projektu Chromium Google opublikowało nowy wpis poświęcony kolejnym krokom w celu uczynienia HTTPS globalnym standardem i dążeniem do bezpieczniejszego internetu.

Pierwszym z nim jest automatyczne "ulepszenie" adresów stron internetowych. Funkcja, która obecnie jest testowana w Chrome 115 sprawi, że przeglądarka próbując otworzyć link w protokole HTTP, automatycznie skieruje użytkownika na witrynę w protokole HTTPS - nawet jeżeli w adresie URL widnieje http://. Według Google mechanizm działa podobnie do HSTS upgrading, które wymusza bezpieczne połączenie HTTPS. Jednak w przypadku Chrome przeglądarka będzie wykrywać kiedy wymuszenie HTTPS nie działa (np. w sytuacjach, kiedy witryna będzie posługiwać się nieważnym certyfikatem lub zwracać błąd HTTP 404) i mimo wszystko kierować użytkownika do http://.

Drugi krok stanowi ostrzeżenie o pobieraniu plików poprzez niezabezpieczone połączenie. Kiedy użytkownicy Chrome będą pobierać pliki - niezależnie od ich typu i rozmiaru - ze stron posługujących się protokołem http://, wyświetlone zostanie powiadomienie o potencjalnym zagrożeniu. Powiadomienie będzie zawierać przycisk pozwalający na kontynuowanie pobierania, jak i usunięcie pliku. Według zapowiedzi Google funkcja ta trafi do stabilnego wydania przeglądarki w połowie września.

Choć obie funkcje są obecnie jedynie testowane, to przetestować można je już dzisiaj poprzez wejście w funkcje eksperymentalne przeglądarki - flagi (chrome://flags) i włączenie "HTTPS Upgrades" oraz "Insecure download warnings".

HTTP - skrót od Hypertext Transfer Protocol - to protokół komunikacji pomiędzy klientem a serwerem w sieci WWW. Stanowi on sposób komunikacji między komputerami w sieci internetowej, który pozwala na wymianę plików i informacji. Każda strona internetowa, którą odwiedzasz posługuje się protokołem HTTP - a właściwie w większości jego ulepszoną wersją, HTTPS.

Protokół HTTPS używa dodatkowej "warstwy" ochrony w postaci szyfrowania i cyfrowego podpisywania danych, które zapewnia technologia SSL poświadczona odpowiednim certyfikatem. Szyfrowanie oznacza, że dane są zamieniane na ciąg znaków, który jest trudny do odczytania przez osoby postronne. Podpis cyfrowy oznacza, że dane są sprawdzane pod kątem autentyczności i integralności, czyli czy pochodzą od prawdziwego nadawcy i czy nie zostały zmienione po drodze. Dzięki temu HTTPS zapobiega atakom typu man-in-the-middle, w których cyberprzestępcy podszywają się pod serwer lub przeglądarkę i przechwytują, lub modyfikują dane.

Zobacz też: