Что такое Chrome 68?

29 мая 2018 года интернет-гигант Google выпустил новую версию своего браузера Chrome под названием Chrome 68. Согласно их блогу Chromium, браузер будет доступен с начала июля, заменив предыдущую версию.

Среди изменений, которые появятся в новом браузере, — повышенное внимание к безопасности веб-сайтов: все веб-страницы HTTP будут помечены как «небезопасные». HTTP-страница — это веб-страница, не имеющая действующего SSL-сертификата, что означает, что страница не зашифрована из конца в конец и может иметь более низкий уровень безопасности. Добавление SSL-сертификата на ваш сайт подтверждает его подлинность, шифруя всю информацию, которой обменивается пользователь с сайтом, защищая ее от кражи и неправомерного использования. Chrome стал первым крупным браузером, который явно отмечает сайты без HTTPS как небезопасные. Предыдущие версии предупреждали об отсутствии SSL-сертификатов только на страницах входа в систему или при вводе банковских/чувствительных данных.

Chrome 68 не доверяет всем HTTP-сайтам в попытке очистить безопасность веб-сайтов в Интернете. Это изменение будет сразу же заметно в адресной строке браузера, где вы сможете увидеть слова «not secure» слева от URL на любой веб-странице, не защищенной действительным SSL-сертификатом. Самое большое изменение заключается в том, что надпись «not secure» теперь будет применяться к любой веб-странице, не имеющей SSL-сертификата, а не только к страницам с формами или логинами. Это решение о недоверии ко всем незащищенным страницам, независимо от их содержания, соответствует их поведению в последние пару лет. Они пропагандируют использование HTTPS-шифрования и постепенно маркируют HTTP-страницы как небезопасные. Причина этого проста: внимание к безопасности Интернета и доверие пользователей. С каждым днем становится все больше киберпреступников, которые пытаются воспользоваться пробелами в знаниях ничего не подозревающих пользователей Интернета, и введение «стандарта безопасности» означает, что люди могут быть более спокойны при работе в Интернете. Помимо того, что веб-сайты, использующие только HTTP, являются более легкой мишенью для интернет-преступников, они подвержены появлению назойливой, нежелательной рекламы, которая портит впечатление пользователя.

В прошлом маленький символ «i» в адресной строке был единственным признаком того, что посещаемая страница не зашифрована. Пользователям нужно было нажать на этот символ или просматривать страницу в режиме инкогнито, чтобы увидеть письменное предупреждение о безопасности. Однако после специально проведенного исследования Google обнаружил, что большинство пользователей не обращают внимания на этот минимальный индикатор. Поскольку URL-адреса веб-страниц теперь довольно явно отступают вправо от слов «небезопасно», любой пользователь Chrome должен легко распознать опасность.

Хотя Chrome 68 опережает всех в недоверии ко всем HTTP-страницам, эту тенденцию к повышению безопасности интернета поддерживают все основные производители браузеров (Mozilla, Google, Apple), внося небольшие изменения в свои браузеры, которые поощряют использование HTTPS и препятствуют использованию только HTTP.

Google уже давно пытается представить себя защитником безопасности в Интернете. Chrome 56, выпущенный в январе 2017 года, начал применять предупреждения к веб-сайтам, которые обрабатывают конфиденциальные данные через незашифрованное соединение. Новый уровень защиты, предоставляемый Chrome 68, означает, что пользователи будут информированы на тему безопасности и получат больше защиты от фишинговых методов и атак типа «человек в браузере».

Этим действием Google также заботится о себе. В их интересах, чтобы пользователи продолжали чувствовать себя в безопасности, используя Интернет для транзакций и просмотра сайтов. Пользователи должны проводить все больше и больше времени в Интернете, чтобы рост компании продолжался. Масштабная кампания против тысяч небезопасных SSL-сертификатов от Symantec доказала, что Google серьезно относится к этой теме.

Если вы используете сайт, защищенный HTTPS, то для вас ничего не изменится. Однако если ваш сайт не защищен SSL-сертификатом, или если некоторые страницы защищены, а другие нет, посетители получат предупреждение «небезопасное соединение» при попытке зайти на соответствующие страницы в браузере Chrome 68. Хотя это может быть не каждая страница на вашем сайте, появление такого предупреждения на любой из ваших страниц сразу же станет тревожным сигналом для большинства пользователей. Это, безусловно, негативно скажется на посещаемости сайта, что является огромной проблемой, особенно если у вас есть сайт электронной коммерции. Иногда на сайтах есть страница входа или оплаты, защищенная HTTPS, но остальная часть сайта остается без него, и этого уже недостаточно. В исследовании, проведенном в ноябре 2014 года, центр сертификации Globalsign обнаружил, что 85 процентов онлайн-покупателей чувствуют себя отпугнутыми незашифрованными веб-сайтами. Благодаря этому действию Google 68, все веб-страницы должны быть защищены SSL-сертификатом, чтобы обеспечить более плавное и безопасное взаимодействие с посетителями.

Однако все же стоит предусмотреть сертификат для всех веб-страниц, даже если ваш сайт не является сайтом электронной коммерции. Наличие незащищенных страниц на вашем сайте не только влияет на посещаемость сайта, но и отрицательно сказывается на вашем SEO-рейтинге. В рамках действий Google по поощрению безопасности HTTPS его алгоритмы активно продвигают веб-страницы HTTPS в результатах поиска и понижают те, которые не имеют соответствующего SSL-сертификата.

Чем плавнее пользовательский опыт и чем выше уровень доверия со стороны посетителей, тем больше будет процветать ваш сайт. Безопасность веб-сайта является ключом к этому, а HTTP уже много лет является устаревшим стандартом. На самом деле, его первоначальная функция вообще не была связана с безопасностью. Добавление SSL-сертификата для обеспечения безопасности вашей страницы означает, что вы добавляете уровень шифрования и подлинности страницы, что в свою очередь защищает данные ваших пользователей. Этот уровень безопасности также обеспечивает защиту сайта от вторжений третьих лиц, включая точки доступа Wi-Fi или другие небезопасные соединения. Эти внешние стороны могут вставлять на ваш сайт дополнительную рекламу, которая будет резко замедлять его работу, создавая негативные впечатления у посетителей и потенциально подвергая их риску заражения вредоносным контентом. Если вы сможете гарантировать посетителям безопасную и подлинную работу с сайтом, это приведет к тому, что большее количество транзакций будет проведено полностью, уменьшится количество отказов и ваш сайт приобретет хорошую репутацию.

Кроме того, появляется все больше веб-технологий и функций/плагинов браузеров, для функционирования которых необходим HTTPS. Продолжение работы сайта на HTTP означает, что вы лишаете свой сайт возможности пользоваться последними функциями и обновлениями.

В мае 2018 года Google объявил об удалении зеленого значка замка, который в настоящее время отображается на HTTPS-страницах в качестве индикатора безопасности. Google считает, что пользователи должны воспринимать интернет как «безопасный по умолчанию». Однако для HTTP-сайтов останется красное предупреждение «небезопасно», что сделает страницы еще более узнаваемыми. Как указано в блоге Google Chromium Blog, это изменение должно быть внедрено в сентябре 2018 года с выходом Chrome 69.

Все, что вам нужно сделать, чтобы обеспечить безопасность ваших сайтов (и чтобы вас не осуждал Chrome 68), — это приобрести сертификат протокола SSL (Secure Sockets Layer) или сертификат протокола TLS (Transport Layer Security). Для этого не требуется никакого оборудования. Если на вашем сайте уже есть сертификаты для одних страниц, но не для других, убедитесь, что у вас есть сертификаты для всех страниц вашего сайта. Вам также следует дважды проверить, что все сторонние сервисы, которые вы можете использовать (реклама, аналитические сервисы и т.д.), также совместимы с HTTPS, чтобы избежать каких-либо проблем. Благодаря все более изощренным современным методам взлома, нет никаких оснований отдавать предпочтение одним веб-страницам перед другими. В дополнение к хорошему рейтингу Google SEO и ускоренной производительности с HTTP/2, доверие пользователей является преимуществом номер один от этого перехода.

Google Chrome теперь поддерживает только HTTPS-соединения. Однако некоторые сайты все еще помечаются предупреждающим сообщением, несмотря на сертификацию HTTPS — сайты, использующие устаревшие сертификаты, выданные Symantec. По данным Google, Symantec неоднократно выдавал неправильные сертификаты тысячам доменов, неоднократно доказывая свою небезопасность и ненадежность.

Google отреагировал на эти несоответствия постепенным недоверием к сертификатам Symantec, завершившимся выпуском Chrome 66. С 17 апреля^th2018 года веб-сайты, имеющие сертификаты TLS, которые были выданы Symantec до 6 июня^th, 2016, были помечены предупреждением о том, что данные на сайте могут быть перехвачены третьими лицами. В Chrome 68 теперь отображается четкое предупреждение «Небезопасно». Когда запланированное обновление с Chrome 68 до Chrome 70 произойдет 23 октября^rd2018 года, это предупреждение станет еще более очевидным для всех сертификатов Symantec, выпущенных до 1 декабря 2018 года.^st, 2017. Надпись «Not Secure» будет отображаться красным цветом и подсвечиваться, как только пользователи попытаются ввести свои данные на небезопасном сайте.

Количество доменов, которые будут затронуты этим изменением, было обнаружено техническим специалистом по безопасности Airbnb, работающим по собственной инициативе. 11 510 доменов, или почти 10% наиболее посещаемых сайтов согласно рейтингу Alexa, будут помечены как небезопасные. Причина столь высокого числа заключается в том, что Chrome 70 не только не доверяет устаревшим сертификатам, выданным непосредственно компанией Symantec, но и заносит в черный список сертификаты, цепочка доверия которых основана на их сертификатах (включая GeoTrust, RapidSSL и Thawte). Поэтому всем пользователям сертификатов Symantec рекомендуется проверить дату выпуска и при необходимости бесплатно заменить сертификат.