Přišel den s velkým D. Chrome 68 se dnes oficiálně dostane do distribuce pro všechny běžné uživatele a uživatelky, přičemž pro web bude představovat aspoň krátkodobě zlomové vydání. Jak už Google kdysi upozornil, plán na označování webů, jež nepoužívají šifrovaný protokol HTTPS, byl dlouhodobý a složený z malých kroků. Už roce 2015 firma očekávala, že web bude časem kompletně šifrovaný.
Cesta za šifrovanými weby
Chrome 56 za nezabezpečené označil weby s přihlašovacími formuláři jedoucí na HTTP, byť nijak agresivně. Chrome 62 během podzimu 2017 za nezabezpečené označil navíc také weby používající HTTP, které obsahovaly jiné typy formulářů. V únoru tohoto roku pak Google oznámil poslední krok – Chrome 68 označí za nezabezpečené všechny weby komunikující skrze HTTP.
Tip: Novinky kolem Chromu sledujte pod příslušným štítkem
Podle Googlu v únoru 81 ze 100 nejnavštěvovanějších stránek používalo HTTPS. Pokud narazíte na web používající nešifrovaný HTTP, Chrome 68 v adresním řádku řekne, že jste navštívili nezabezpečenou stránku. Pokud si vzpomenete na původní návrhy, mělo jít o mnohem křiklavější upozornění. Současná podoba se skládá ze šedivého popisku, který je dle mého názoru snadné přehlédnout.
Chrome 678 stále výrazně indikuje použití HTTPS, k tomu ale weby jedoucí na HTTP označuje za neebezpečnéGoogle chce, aby HTTPS bylo běžné. Proto u šifrovaných webů v adresním řádku v budoucnu nehodlá zobrazovat výrazný indikátor, zvýraznit chce jen stavy lišící se od stavu normality, kde normalitou myslíme používání HTTPS. Odebrání výrazného indikátoru zabezpečeného webu nás nicméně čeká až ve Chromu 69. V něm bychom stále měli spatřit malý zámek, ale i ten by se časem měl vytratit.
Jaké weby jsou nezabezpečené?
Zatímco změna chování Chromu byla oznámena dopředu, weby měly dost času na to, situaci řešit. Ve výsledku je pro všechny výhra, když bude veškerý přenos zabezpečený, těžko se hledají pořádné protiargumenty. CloudFlare tvrdí, že většina webů ze seznamu milionu nejnavštěvovanějších stránek je nezabezpečených. (Google se zaměřuje na data ze svého prohlížeče a na mnohem menší výsek stránek.)
https://twitter.com/Cloudflare/status/1021196369313353728
Bezpečnostní expert Troy Hunt, známý mj. z projektu Have I Been Pwned, spojil síly se Scottem Helme, což je další bezpečnostní expert. Hunt zanalyzoval nejnavštěvovanější weby a ty, které nepoužívají HTTPS (včetně těch, které někdy HTTPS použijí, ale jindy ne), vystavil na seznamu na adrese whynohttps.com. Ty seřadil sestupně podle počtu název, přičemž rank převzal z Alexy.
Ze seznamu vyplývá, že nemalou měrou se na nebezpečných přenosech podíly čínské weby, ačkoli nechybí ani jiní velcí hráči západního světa jako t.co (zkracovač adres na Twitteru), bbc.com nebo foxnews.com. Jestliže tento seznam zobrazuje stovku nejnavštěvovanějších webů globálně, které nepoužívají HTTPS, whynohttps.com nabízí také seznamy nezabezpečených stránek v jednotlivých zemích, viz spodní část stránky.
V Česku k padesátce nejnavštěvovanějších nezabezpečených webů patří blesk.cz, ceskatelevize.cz nebo nova.cz. Nechybí zde ani sdílecí služba hellspy.cz, stránky dvou ministerstev (mvcr.cz a mzv.cz) nebo dokonce platební služba gpwebpay.com, kde je nepoužití HTTPS zřejmě vůbec nejrizikovější.
Scott Helme v posledních letech vytahuje data z Alexy o milionu nejnavštěvovanějších stránek globálně. V únoru z těchto dat vyplývalo, že HTTPS používá jen 38 % z nich. Stav se ale lepší, protože půl roku předtím šlo o hodnotu o třetinu vyšší.
ČLÁNKY DO MAILU