Только 40% интернет-ресурсов используют защищенное HTTPS-соединение. Таковы результаты исследования онлайн-безопасности независимого эксперта Скота Хелма.
Конечно, это можно считать позитивным трендом последних нескольких лет, поскольку по сравнению с октябрем 2017 года использование HTTPS-протокола выросло более чем на 7 п. п. — до 38,4%. Тем не менее далее использование зашифрованных соединений пойдет медленнее: «По предыдущим отчетам видно, что темп миграции на HTTPS постоянно увеличивался, и, разумеется, это не может продолжаться вечно. Несмотря на впечатляющий рост, график начинает выходить на плато… Мы продолжаем двигаться в верном направлении, но отчеты [которые я опубликую] в августе 2018 и феврале 2019 могут показать гораздо меньшую динамику», - отметил специалист.
Сегодня все больше веб-мастеров внедряют технологию привязывания публичных ключей (HTTP Public Key Pinning). При этом среди крупных сайтов популярность HPKP падает — возможно, в связи с тем, что уже летом ее перестанет поддерживать браузер Chrome.
Технология HPKP позволяет браузеру запрашивать у сайта сертификат, чтобы удостовериться в легитимности соединения. Это повышает защищенность обмена данными и затрудняет проведение MitM-атак (атак посредника), поскольку злоумышленнику придется похитить белый список сертификатов, который хранится на пользовательской машине. В то же время ошибка при настройке функции сделает ресурс недоступным для посетителей — браузер посчитает его небезопасным.
Еще одна проблема связана с тем, что выбор удостоверяющих центров для выпуска сертификатов возлагается на разработчиков браузеров и ОС. Такая децентрализация затрудняет работу администраторов сайтов — они не знают, какой набор ключей можно считать наиболее полным и доверенным. Именно эти причины и подтолкнули Google к отказу от HPKP.
Хелм также отметил, что все больше сайтов используют сервис Let’s Encrypt, который выдает бесплатные криптографические сертификаты. В октябре 2017 года он вышел на первое место по количеству предоставленных ключей, обогнав своих конкурентов Comodo и Go Daddy. Как считает эксперт, это доказывает, что снятие финансовых и технических барьеров положительно влияет на общий уровень безопасности.
.jpg)
