neprihlásený Štvrtok, 21. novembra 2024, dnes má meniny Elvíra
Chrome bude považovať za normu šifrované HTTPS stránky, pri bežných výstražný trojuholník

Značky: ChromeHTTPšifrovanieweb

DSL.sk, 17.5.2018


Spoločnosť Google v rámci svojej snahy pretransformovať celý web na šifrovaný prenos stránok vo svojom webovom prehliadači Chrome uskutoční okrem už oznámených zmien v blízkej budúcnosti aj ďalšie dve významné zmeny v prístupe k zabezpečeným HTTPS aj nešifrovaným HTTP stránkam.

Spoločnosť to oznámila dnes.

Pri využívaní protokolu HTTP sa stránky a tiež odosielané požiadavky vrátane adries, dát v hlavičkách a najmä obsahu formulárov prenášajú v nešifrovanej podobe. Dáta tak môže získať každý so schopnosťou odchytávať túto dátovú komunikáciu. Pri HTTPS sú naopak prenášané dáta šifrované protokolom TLS / SSL a útočník odchytávajúci prenášané dáta ich tak nevie odšifrovať.

Google začal s označovaním HTTP stránok ako nie bezpečných postupne ku koncu roku 2016. Najskôr sa pri takýchto stránkach zobrazovala iba informačná ikona, po kliknutí na ktorú sa v ďalších informáciách uvádzalo, že pripojenie nie je bezpečné.


HTTP stránka zobrazená v Chrome 64 a budúcom Chrome 68, kliknite pre zväčšenie (obrázok: Google)



Od verzie Chrome 56 v januári 2017 začal Chrome označovať HTTP stránky, na ktorých užívatelia zadávajú heslá a čísla platobných kariet, aj textovým upozornením "Not secure" priamo v políčku pre adresu.

Na začiatku tohto roka spoločnosť avizovala ďalšiu zmenu od pripravovanej júlovej verzie Chrome 68, v ktorej začne označovať všetky HTTP stránky takýmto spôsobom.


Zmena v označovaní HTTPS stránok od Chrome 69, kliknite pre zväčšenie (obrázok: Google)



Teraz oznámila ďalšie dve zmeny. Okrem upozorňovania na HTTP stránky plánuje Google naopak považovať HTTPS stránky za bežnú normu a postupne u nich úplne odstráni upozorňovanie, že sú zabezpečené. Teraz konkrétne ohlásila, že od septembrovej verzie Chrome 69 prestane ukazovať označenie "Secure" a pri adrese bude iba zámoček. Zatiaľ v nespresnenom čase odstráni aj ten.


Plánované upozorňovanie na HTTP stránky so zadávaním dát v Chrome 70 a neskôr pre všetky HTTP stránky, kliknite pre zväčšenie (obrázok: Google)



Hneď v ďalšej verzii Chrome 70 plánovanej na október uskutoční aj ďalšiu zmenu, keď naopak začne HTTP stránky, na ktorých užívatelia zadávajú dáta, označovať červeným výstražným trojuholníkom s červeným nápisom "Not secure". K zmene farby a pridaniu výstražného trojuholníka príde po tom, ako užívateľ reálne začne na stránke zadávať do formuláru text.

V minulosti spoločnosť zároveň avizovala, že postupne takto dôrazne plánuje označovať všetky HTTP stránky. Kedy sa tak stane ale nie je zatiaľ jasné.

Google sa snaží o prechod na HTTPS aj viacerými ďalšími aktivitami, okrem štandardného prístupu na jeho služby cez HTTPS spoločnosť okrem iného už nedovolí prístup na svoj vyhľadávač cez HTTP a vo výsledkoch vyhľadávania zvýhodňuje HTTPS stránky.

HTTPS je k dispozícii už od roku 1994. Jeho presadzovanie na bežný prístup k stránkam bolo donedávna pomerne pomalé a zintenzívnilo sa najmä po odhaleniach Snowdena o masovom sledovaní verejnosti z roku 2013.


      Zdieľaj na Twitteri



Najnovšie články:

Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky
Qualcomm chystá Snapdragon CPU pre lacnejšie PC, majú začínať na 600 dolárov
SpaceX nezachytávala prvý stupeň Starship kvôli problému na štartovacej veži
Sprístupnená prvá testovacia verzia už Androidu 16
Starship má dnes uskutočniť ďalší let, video
Google chce údajne na notebooky nasadiť Android namiesto ChromeOS


Diskusia:
                               
 

Demencia fakt, aby umoznili vnutropodnikove vynimky to nie, ale umelo generovat zisk CAckam a providerom to ano
Odpovedať Známka: -4.4 Hodnotiť:
 

Let's encrypt ti nic nehovori? Ked potrebujes https, je to jasna volba.
Odpovedať Známka: 5.4 Hodnotiť:
 

Nie let´s encrypt mi nic nehovori, nakolko lets encryt si vyvinul svoj ACME protokol cez ktory updatuje CERT, nehovoriac o tom, ze .local tld ti nikto neregne, a PKCS#7 Let´s Encrypt nepodporuje. Naozaj nemienim manualne updatovat kazde 3 mesiace stovku serverov, switchov, NPS providerov, pripadne KRB5 frontendy kvoli debilnemu vymyslu googlu. Uz dost na tom ze si natlacili svoje Certificate Transparency (co schvalujem, polozilo to myslim Symantec po tych zisteniach), ale nikde nedavaju moznosti whitelistnut s wildcardom kedy sa CT pozaduje a kedy nie, nehovoriac o tom, ze niektore Embedded zariadenia HTTPS ani nepodporuju, a niektore podporuju iba SSL a nie TLS a ani uz nikdy nebudu (iLO2 ehm ehm).

Chrome je vo vela veciach dobry, ale ten Enterprise management zaostava bohuzial, ja vo vela pripadoch ich kroky schvalujem, kedze chrania userov, ale vramci intranetu pre business deployment by mohli byt trosku benevolentnejsi.
Odpovedať Známka: 3.1 Hodnotiť:
 

"ale nikde nedavaju moznosti whitelistnut s wildcardom kedy sa CT pozaduje a kedy nie"

Lebo to nedava zmysel?
Priekazne si to neskusal, lebo u rucne pridanych autorit sa CT nevyzaduje. Vlastna CA moze vystavit certifikat aj na 100 rokov a dokonca v zaklade moze obchadzat certificate pinning. Proste ak si raz admin na tom stroji, tak sa veri, ze tomu rozumies a mozes odpocuvat koho chces.

SSL je stare a bol risk, ze by jeho podpora umoznila downgrade utoky.
Odpovedať Známka: 2.0 Hodnotiť:
 

Keď nemieniš, tak to nerob. :)) A nepičuj.
Odpovedať Známka: -10.0 Hodnotiť:
 

Presne...ja to rád za peniaze urobím
Odpovedať Známka: -3.3 Hodnotiť:
 

Neurobis kedze by ta k tomu ani nikto nepustil (jedina HPE EVA na SK), nemas na to ani vedmosti, ani certifikacie a ani skolenia
Odpovedať Známka: -3.3 Hodnotiť:
 

nechcem byt neprijemny, ale ak mas vnutropodnikove http sluz by (cize asi na neverejnej sieti), a ak ti naozaj vadi nejake sproste UI tak preco si nespravis rovnaku aj sukromnu CA?
Odpovedať Známka: 5.4 Hodnotiť:
 

tu samozrejme mam, ale vid vyssie, oni od 30.4 nutia mat certy so SAN a CT, inak ti to chrome flagne ako untrusted :/. A CT bez verejneho zoznamu (co je sucat CT) nespravis.
Odpovedať Známka: 3.3 Hodnotiť:
 

No čertov by som nechcel ani ja.
Odpovedať Známka: -5.0 Hodnotiť:
 

To neplati pre manualne pridane autority.
Odpovedať Známka: 7.8 Hodnotiť:
 

Vo vnutri podniku vies pouzivat vlastne certifikaty, Active Directory aj FreeIPA obsahuju CA, pouzi ju. Ked nepouzivas AD alebo IPA, tak si aspon urob CA s openssl.
Odpovedať Známka: 10.0 Hodnotiť:
 

mozes upravit zoznam root certifikatov a mozet tam pridat aj svoj self-sign
Odpovedať Hodnotiť:
 

zrusit oznacenie pri protokole https nie je velmi stastne riesenie, moze to viest k tomu ze si na to niekto zvykne, potom sa ocitne na pc/zariadeni so starsim prehliadacom a tam mu to bude rovnako ukazovat prave nie-https stranky....
Odpovedať Známka: 9.3 Hodnotiť:
 

zhorel na uhoľ!
Odpovedať Hodnotiť:
 

ach, uz roky ucim bfu ze ked je zelena je dobre a ked neni tak pozor a oni to teraz zmenia...
Odpovedať Známka: 10.0 Hodnotiť:
 

Takze ked bude vsetko v poriadku v prehliadaci, BFU sa nemusi bat?
Odpovedať Známka: 10.0 Hodnotiť:
 

Radsej by mohli fixnut to nahodne predvyplnovanie loginu a passwordu do nahodnych policiek vo formulari na stranke, s ktorym prisli v Chrome 66. Kopa zakaznikov sa na to stazuje, je to uplne nevypocitatelne a nezda sa ze by niektore z rieseni publikovane vo fore na Chrome blogu fungovalo na 100%...
Odpovedať Známka: 3.3 Hodnotiť:
 

Mám rád nádherné trojuholníky s patričnou 3D hĺbkou, dýchajúcou voľnosťou v podobe nastávajúcej vývevy a pevnou uzáverou v koreni povrchového zobrazenia. Kysučanky s ich klzkými trojuholníčkami priam excelujú pred venezuelskými devami z radov rozkošne snedých indiániek krížených so španielmi.
Odpovedať Hodnotiť:
 

Vymýšľajú v tom googli somariny, nútiť niekoho do niečoho. Fuj!
Odpovedať Hodnotiť:

Pridať komentár