Google по­мо­га­ет рас­ши­рить шиф­ро­ва­ние Рас­ска­зы­ва­ем об ин­но­ва­ци­он­ных раз­ра­бот­ках в об­ла­сти без­опас­но­сти

Все боль­ше сай­тов ис­поль­зу­ет рас­ши­ре­ние HTTPS. Для Google это­го недо­ста­точ­но — здесь де­ла­ют став­ку на без­опас­ную тех­но­ло­гию HSTS.

Chip (Russia) - - Содержание -

Веб-сай­ты, ис­поль­зу­ю­щие шиф­ро­ва­ние с по­мо­щью HTTPS, идут в но­гу со вре­ме­нем. Это свя­за­но с та­ки­ми ини­ци­а­ти­ва­ми, как Let’s Encrypt, ко­то­рые поз­во­ля­ют без про­блем за­щи­тить ин­тер­нет-ре­сур­сы, ис­поль­зуя фор­мат HTTPS. Google то­же вно­сит свой вклад в об­щее де­ло: за­шиф­ро­ван­ные стра­ни­цы по­лу­ча­ют бо­нус в рей­тин­ге.

Это рас­про­стра­ня­ет­ся и на бра­у­зер Chrome. С на­ча­ла 2017 го­да он пре­ду­пре­жда­ет поль­зо­ва­те­лей о небез­опас­ных стра­ни­цах. Сле­ду­ю­щий шаг: кон­церн хо­чет сде­лать стан­дар­том ис­поль­зо­ва­ние HSTS (HTTP Strict Transport Security). Без­опас­ные до­ме­ны при этом ока­зы­ва­ют­ся в Hsts-preload-list.

Та­кой спи­сок име­ет­ся во всех ос­нов­ных бра­у­зе­рах, вклю­чая Chrome, Firefox, Edge/ie или Safari; в нем пе­ре­чис­ля­ют­ся до­ме­ны, у ко­то­рых веб-обо­зре­ва­тель ни ра­зу не опре­де­лял небез­опас­ное со­еди­не­ние. На­при­мер, ес­ли поль­зо­ва­тель вводит «gmail.com», бра­у­зер ав­то­ма­ти­че­ски из­ме­ня­ет ад­рес на про­стой и по­нят­ный «https://gmail.com».

Это предот­вра­ща­ет вкли­ни­ва­ние ха­ке­ра в ком­му­ни­ка­цию до уста­нов­ле­ния за­шиф­ро­ван­но­го со­еди­не­ния. План Google со­сто­ит в том, что­бы вклю­чить пол­ную си­сте­му до­ме­нов верх­не­го уров­ня (ДВУ) в Hsts-preload-list.

В на­сто­я­щее вре­мя кон­церн уже экс­плу­а­ти­ру­ет до­мен .google, и вско­ре за ним долж­ны по­сле­до­вать .foo и .dev. Боль­шое пре­иму­ще­ство для раз­ра­бот­чи­ков и про­вай­де­ров со­сто­ит в том, что при ра­бо­те сай­та на од­ном из та­ких ДВУ и при ис­поль­зо­ва­нии со­от­вет­ству­ю­ще­го сер­ти­фи­ка­та SSL они ав­то­ма­ти­че­ски вно­сят­ся в Hsts-preload-list. В ре­зуль­та­те каж­дый ин­тер­нет-поль­зо­ва­тель мо­жет ав­то­ма­ти­че­ски фор­си­ро­вать за­щи­щен­ное со­еди­не­ние без необ­хо­ди­мо­сти слож­ных кон­фи­гу­ра­ций или про­то­ко­ли­ро­ва­ния в руч­ном ре­жи­ме.

По­след­нее по-преж­не­му воз­мож­но на бес­плат­ной ос­но­ве — для это­го Google пред­ла­га­ет сайт hstspreload.org. Прав­да, по­ка дан­ные об­нов­ля­ют­ся, это мо­жет за­нять ме­ся­цы. Мно­го ли это? Бе­з­услов­но, да. Од­на­ко, как спра­вед­ли­во го­во­рит­ся, — луч­ше доль­ше, да луч­ше! На­де­ем­ся, что Google вско­ре усо­вер­шен­ству­ет свою тех­но­ло­гию. И то­гда Ин­тер­нет ста­нет без­опас­нее.

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.