Chrome 90 использует HTTPS для неполных URL-адресов
Не секрет, что использование HTTPS для обслуживания вашего сайта быстрее и безопаснее, чем использование протокола HTTP по умолчанию. И Google, понимая, что многие пользователи браузеров не вводят полные URL-адреса при доступе к веб-сайтам, решил в этом году преодолеть разрыв между удобством использования и безопасностью. Ожидается, что их последнее обновление браузера, версия 90, будет использовать HTTPS по умолчанию, когда пользователь вводит адрес веб-сайта без указания протокола.
На самом деле это логичный шаг, учитывая, что последние данные из отчета Google о прозрачности показывают, что 95% сайтов в Google уже используют шифрование для защиты своего трафика. Но когда и почему они внедряют это обновление? Chrome принудительно использует HTTPS? И что это изменение означает для вашего сайта?
Chrome принудительно использует HTTPS? Не совсем…
В обновлении блога Chromium Project от 23 марта компания Google анонсировала множество обновлений, которые будут выпущены как часть обновления Chrome 90. В частности, мы хотели бы выделить их переход на HTTPS в качестве протокола по умолчанию при загрузке веб-сайтов для большинства пользователей. Когда пользователи вручную вводят URL-адреса без указания протокола (http:// или https://) в Chrome 90, браузер автоматически пытается загрузить сайт с помощью HTTPS. Это означает, что если кто-то просто наберет domain.com в своем браузере, Google загрузит сайт как https://domain.com вместо обычного http://domain.com по умолчанию.
Таким образом, вместо того, чтобы пытаться сначала подключиться с использованием небезопасного протокола HTTP, будет использоваться защищенный протокол HTTPS. Исторически сложилось так, что Google (и другие браузеры) изначально пытались загрузить все веб-страницы, используя HTTP по умолчанию, потому что это была наиболее широко используемая схема в течение многих лет. В последние годы это привело бы к появлению предупреждений «Небезопасно» на вашем сайте, что, вероятно, отпугнуло некоторых посетителей сайта.
Теперь, когда HTTPS является чемпионом в тяжелом весе практически на всех основных платформах, они теперь официально переходят на безопасный протокол по умолчанию для всех неполных пользовательских запросов, а не используют его в качестве перенаправления. Конечно, есть несколько особых исключений, для которых Google не использует HTTPS автоматически, и мы рассмотрим их. Но сначала давайте поговорим о преимуществах Chrome, использующего HTTPS по умолчанию.
Почему этот переход на HTTPS имеет значение по умолчанию
Переход Google к использованию HTTPS в качестве метода загрузки веб-сайтов по умолчанию - это хорошо, потому что он предполагает, что большинство сайтов используют SSL/TLS. Будет ли это иметь большое или отрицательное влияние на загрузку сайтов, не использующих сертификаты SSL/TLS? Неа. Эти сайты по-прежнему будут загружаться - просто браузер сначала попытается загрузить их с помощью HTTPS. Затем, если это не удастся, он вернется к использованию HTTP для загрузки сайта.
Мы думаем, что Google, делает это по нескольким ключевым причинам:
-
Они предполагают, что пользователи Chrome хотят защитить свои данные. Независимо от того, пытаются ли пользователи вводить «HTTPS» в качестве части веб-адреса, Google предполагает, что они хотят использовать для защиты своих данных шифрование. (Это было бы хорошим предположением со стороны Google, учитывая, что небезопасные соединения могут привести к дорогостоящим утечкам данных.)
-
Google заявляет, что безопасность - один из их главных приоритетов. Согласно их отчету о прозрачности: «Мы считаем, что надежное шифрование имеет фундаментальное значение для безопасности всех пользователей Интернета. Таким образом, мы работаем над поддержкой шифрования во всех наших продуктах и услугах ».
-
95% веб-трафика уже использует HTTPS. Учитывая, что подавляющее большинство веб-трафика полагается на HTTPS, подключение к HTTPS в первую очередь имеет смысл. Быстрее пытаться подключиться к протоколу, который, скорее всего, будет успешным, чем сначала пробовать HTTP, а потом ждать, пока сервер перенаправит на HTTPS.
Этот шаг технологического гиганта - позитивный шаг, который приносит пользу всем, кроме киберпреступников, которые хотят нас эксплуатировать.
Использование HTTPS по умолчанию автоматически повышает безопасность сайта и конфиденциальность пользовательских данных
Киберпреступники используют атаки типа "man-in-the-middle" для перехвата данных, когда они передаются между браузерами пользователей и вашим веб-сервером. Когда данные передаются через HTTP, они передаются в текстовом формате, который злоумышленники могут перехватить, прочитать, изменить или украсть. В зависимости от типов данных, которые они получают, могут использовать эту информацию для кражи личных данных, финансового мошенничества или множества других киберпреступлений.
Но когда вы используете HTTPS, вы защищаете эти данные с помощью шифрования, чтобы никто, кроме вашей предполагаемой стороны, не мог получить доступ к читаемой информации. Вы также подтверждаете свою личность компании в начале подключения, чтобы клиенты пользователей знали, что они подключаются к вашему оригинальному сайту.
Подключение через HTTPS автоматически увеличивает скорость загрузки сайта
Если сразу загружать веб-сайты с использованием безопасного протокола, Chrome убирает ненужный шаг в подключении для веб-сайтов с поддержкой HTTPS - ожидание перенаправления сервера с HTTP на HTTPS. Использование HTTPS для загрузки сайтов с поддержкой HTTPS приводит к более высокой начальной скорости загрузки, что улучшает взаимодействие с пользователем.
Важно отметить, что Google не оптимизирует этот шаг HTTPS по умолчанию некоторых случаях. В некоторых ситуациях браузер по-прежнему по умолчанию использует HTTP при загрузке:
-
Локальные имена хостов (примеры, которые они привели, включают localhost / и test /), и
-
IP-адреса.
Они не являются общедоступными в Интернете, поскольку они существуют в вашей локальной сети и на вашем компьютере соответственно. Таким образом, у них не было бы публично доверенных SSL-сертификатов - только самозаверенные SSL-сертификаты, которые здесь не имели бы значения, поскольку по умолчанию им все равно не будут доверять. И хотя IP-адреса можно защитить с помощью сертификатов SSL / TLS, это делается нечасто, и большинство центров сертификации не выдают сертификаты для IP-адресов.
Получение доверенного SSL сертификата
Но что, если на вашем сайте не включен SSL / TLS? Если на вашем сайте еще нет сертификата SSL / TLS, то сейчас отличное время для его получения. Помимо защиты данных, сертификаты SSL / TLS для бизнеса и расширенной проверки также помогают подтвердить организационную идентичность вашего сайта. Это позволяет пользователям узнать, что ваш сайт является законным, и что они могут доверять ему свои конфиденциальные данные.
А поскольку Chrome по умолчанию загружает почти все веб-сайты через HTTPS в версии 90, это означает, что сайты, использующие HTTP, будут загружаться медленнее, поскольку им потребуется перенаправление с HTTP на HTTPS.
Если вы являетесь пользователем iOS и ваш браузер еще не обновлен до версии 90, он должен быть вам доступен (или, скорее всего, вам не придется долго ждать, если этого еще не произошло). В сообщении блога Chromium, говорится, что обновление Chrome для устройств iOS выйдет «вскоре после этого». Google сообщает, что 7 апреля они выпустили бета-версию Chrome 90 для iOS, и что бета-версия приложения должна быть доступна в App Store в течение «следующих нескольких дней».
Последние мысли об обновлениях HTTPS для Chrome 90
Этот шаг к тому, чтобы сделать HTTPS первым шагом, а не второстепенным вариантом загрузки веб-сайтов, является четким шагом в правильном направлении. Учитывая, что 2020 год был рекордным по киберпреступности и утечкам данных, каждый должен вносить свой вклад в то, чтобы сделать Интернет более безопасным.
Влияние обновления Google Chrome 90 на ваш сайт (если HTTPS включен по умолчанию) по сути, здесь ничего не изменится для вас или ваших пользователей - за исключением улучшенной скорости загрузки сайта и защиты данных, о которых мы упоминали ранее.
Поскольку вы уже используете HTTPS, это означает, что Chrome уже загружает ваш сайт, используя безопасную платформу. И если ваш сайт уже находится в списке предварительной загрузки HSTS, то Google уже по умолчанию использует HTTPS для загрузки вашего сайта.