Подключение сайта не защищено в браузере: почему это происходит
Подключение сайта не защищено в браузере? Узнайте 5 причин, почему это происходит, и как обезопасить свой сайт прямо сейчас! В этой статье мы рассмотрим основные угрозы безопасности для вашего сайта и предложим рекомендации по защите от них.
- Суть проблемы
- Как работают безопасные «HTTPS-сайты», помеченные индикатором «защищено»
- Почему веб-сайты помечаются индикатором «Не защищено», если они не зашифрованы
- Почему «Google» создал это изменение
- Вопросы и ответы
- Комментарии
Суть проблемы
Самыми распространенными устройствами в мире являются персональные компьютеры и ноутбуки. Используя свои внутренние возможности, они с легкостью решают различные задачи, обрабатывают громадный массив информации и хранят значительный объем данных пользователей.
В последнее время серьезную конкуренцию в вопросе популярности и количестве используемых устройств им составляют смартфоны и коммуникаторы. Обладая уникальной степенью мобильности, они имеют неоценимое значение для любого вида общения и обмена информацией пользователями друг с другом. Катализатором роста полярности послужило создание и повсеместное распространение международной информационной компьютерной сети «Интернет».
Информационная сеть оправдывает свое название на сто процентов и содержит всевозможную информацию по любому вопросу, предоставляя пользователю доступ к ней при любом его запросе. Дополнительно, в сети «Интернет» можно с легкостью обмениваться любыми данными, просматривать видео и слушать музыку, хранить свои личные данные или предлагать информацию для ознакомления, общаться с друзьями и находить новых знакомых и многое другое.
Вследствие своей необычайной популярности, «Интернет» привлекает к себе различных мошенников. Применяя продвинутые способы манипуляции сознанием, а также используя вредоносные программы (вирусы), они пытаются украсть личные данные пользователей и другую конфиденциальную информацию, представляющую интерес для использования ее в злонамеренных целях. Поэтому вопрос защиты всех «Интернет-соединений» и безопасности использования «Интернета» имеет первостепенное значение.
Для комфортного и защищенного доступа к сети «Интернет» пользователю необходимо воспользоваться особым программным обеспечением, которое позволило бы выполнять все описанные действия и отвечало бы всем требованиям безопасности. Такая программа (или другими словами компьютерное приложение) называется веб-браузер.
Существует большое количество веб-браузеров, доступных пользователям для собственного применения. Все представленные браузеры обладают стандартным набором функций и выполняют схожие действия, имея лишь незначительные отличия. Поэтому можно смело пользоваться любым веб-браузером по своему усмотрению, который, в большей степени, устраивает именно вас, без опасения, что вам буду недоступны отдельные возможности «Интернета». Основной упор в современных браузерах делается на совмещение возможностей различных веб-приложений и их взаимозаменяемость.
Сегодня мы остановимся на освещении популярного веб-браузера «Google Chrome», и рассмотрим его способ отображения сведений о сайтах.
После установки последней версии обновления «Google Chrome 68», браузер помечает все веб-сайты с расширением, отличным от «HTTPS», надписью «Не защищено». Это сделано с целью привлечь внимание пользователей к веб-сайтам, не использующим защищенное соединение «HTTPS». Никаких важных изменений не произошло: «HTTP-сайты» все так же безопасны, как и всегда, но «Google» планирует стимулировать пользователей, в большей степени, использовать безопасные сайты, оснащенные зашифрованным видом соединения.
В будущем «Google» даже планирует удалить индикатор «Защищено» из адресной строки, отражая концепцию, что защищенное соединение «HTTPS» становится нормой, а выполнить переход с «HTTP» на «HTTPS» абсолютно не сложно и необходимо. В конце концов, все сайты должны быть безопасными по умолчанию.
Как работают безопасные «HTTPS-сайты», помеченные индикатором «защищено»
Когда вы посещаете веб-сайт, использующий шифрование «HTTPS», вы увидите знакомый значок зеленого замка и слово «Защищено» в адресной строке веб-браузера.
Даже если вы вводите пароли, указываете номера кредитных карт или получаете конфиденциальные финансовые данные по такому соединению, шифрование гарантирует, что никто не сможет подсмотреть, перехватить или изменить отправляемые пакеты данных, пока они перемещаются между вашим устройством и сервером веб-сайта.
Это происходит потому, что веб-сайт настроен на использование безопасного «SSL-шифрования». Ваш веб-браузер использует протокол «HTTP» для подключения к веб-сайтам, которые используют традиционный незашифрованный способ соединения. Или использует «HTTPS» – буквально означающее соединение «HTTP» с «SSL-шифрованием» – при подключении к защищенным веб-сайтам. Однако владельцам «HTTP» веб-сайтов необходимо предварительно настроить защищенное соединение «HTTPS», прежде чем браузер будет использовать его для соединения с ними.
«HTTPS» также обеспечивает защиту от злоумышленников, имитирующих оригинальный веб-сайт. Например, если вы подключены к сети «Интернет» через общественную точку доступа «Wi-Fi» и открываете сайт «google.com», то серверы «Google» предоставят сертификат безопасности, действительный только для «google.com». Если бы «Google» просто бы использовал незашифрованное соединение «HTTP», то у пользователя не было бы возможности узнать, действительно ли он перешел на реальный веб-сайт «google.com» или перенаправлен на сайт интернет-мошенника, предназначенный для обмана и кражи личных и конфиденциальных данных пользователя. Например, зараженная вредоносная точка доступа «Wi-Fi» может перенаправлять пользователей на такие типы мошеннических веб-сайтов, пока они подключены к общественной точке доступа «Wi-Fi» (при использовании общественного «Wi-Fi» технически не происходит проверки идентификационных данных или сертификатов расширенной проверки «EV», но в любом случае, это лучше чем ничего).
Зашифрованное соединение «HTTPS» также предоставляет и другие преимущества. С «HTTPS» никто не может увидеть полный путь к веб-страницам, которые вы посещаете. Они могут видеть только основной адрес веб-сайта, к которому вы подключаетесь. Поэтому, если вы читаете о состоянии здоровья на странице, например «example.com/medical_condition», то даже ваш поставщик интернет-услуг будет видеть, что вы подключены к сайту «example.com», а не то, что читаете определенную страницу. Если вы посещаете «Википедию», то ваш «Интернет-провайдер» или кто-то еще сможет увидеть лишь то, что вы находитесь на главной странице домена «Википедия», а не конкретную страницу, которую вы читаете.
Вам может показаться, что зашифрованное соединение «HTTPS» будет работать медленнее, чем обычное «HTTP», но вы ошибаетесь. Разработчики потрудились над внедрением новых технологий, такими как «HTTP/2», чтобы ускорить просмотр веб-страниц. Но протокол «HTTP/2» в веб-браузере «Google Chrome» разрешен только для зашифрованных соединений «HTTPS», что делает такое соединение быстрее, чем «HTTP».
Почему веб-сайты помечаются индикатором «Не защищено», если они не зашифрованы
Раньше существовала определенная градация сайтов: сайты «HTTP» считались обычными сайтами, а сайты «HTTPS» – защищёнными. Теперь порядок индикации сайтов переходит на одну ступень вверх в вопросе защиты передачи данных. А именно, обычными становятся сайты «HTTPS», а раздел защищённых сайтов теперь отсутствует, ведь по умолчанию все обычные сайты принимаются как защищённые. Поэтому тот сайт, который не защищен сертификатом, не удовлетворяет принятым стандартам безопасности и требует более пристального внимания, которое выражается в отдельной индикации его, как незащищённого.
И сайты с протоколом «HTTP» теперь кажутся веб-браузеру более подозрительными. По этой причине в последнем обновлении «Google Chrome 68» присутствует индикатор «Не защищено» в адресной строке, когда вы посещаете незашифрованный сайт «HTTP» (ранее для обозначения сайтов с протоколом «HTTP» «Google» использовал обозначение кружка с латинской буквой «i» внутри). Если вы нажмете на индикатор «Не защищено», то браузер во всплывающем сообщении предупредит вас «Подключение к сайту не защищено».
«Google Chrome» сообщает, что соединение не безопасно, потому что для защиты соединения нет шифрования. Все данные отправляются по открытому соединению в виде простого текста, что означает, что он уязвим для отслеживания и подделки. Если вы вводите на такой сайт конфиденциальную информацию, такую как пароль или платежные данные, то злоумышленник может отследить ее, когда она перемещается по сети «Интернет».
Дополнительно, могут быть просмотрены входящие данные, которые веб-сайт отправляет вам. Таким образом, даже если вы просто просматриваете сайты в «Интернете», подслушивающие устройства могут видеть, на каких веб-страницах вы побывали. Ваш «Интернет-провайдер» также имеет точные данные, какие веб-страницы вы посетили, и можете продавать эту информацию для использования ее в целевых рекламных объявлениях. Также и злоумышленники, при использовании вами общественной точки доступа «Wi-Fi», могут проследить, какие страницы вы просматриваете.
Незашифрованный веб-сайт дополнительно уязвим для подделки. Если злоумышленник появится между вами и веб-сайтом, то он может изменять данные, которые веб-сайт отправляет вам, или изменять данные, которые вы отправляете на веб-сайт, выполняя «атаку посредника» (или атака «человек посередине»). Например, это может произойти, если вы используете общественную точку доступа «Wi-Fi». Оператор может шпионить за вами, отслеживать ваши действия, захватывать ваши личные данные или изменять содержимое веб-страницы прежде, чем вы достигнете ее. Например, злоумышленник может вставлять ссылки для загрузки вредоносных программ на легитимную страницу загрузки, если эта страница была соединена через «HTTP» вместо «HTTPS». Он может даже создать поддельный сайт-прокладку, который с точностью похож на оригинальный веб-сайт, если он не использует «HTTPS», и у вас не будет способа понять, что вы связаны с поддельным, а не с реальным, веб-сайтом.
Почему «Google» создал это изменение
«Google» и другие веб-компании, в том числе «Mozilla», проводят долгосрочную кампанию по переносу способа передачи информации в «Интернете» с протокола «HTTP» на «HTTPS». «HTTP» теперь считается устаревшей технологией, которую веб-сайты использовать не должны.
Первоначально, только несколько сайтов использовали безопасное соединение «HTTPS». К ним относились банковские и другие конфиденциальные веб-сайты, которые использовали защищенный протокол, и перенаправляли вас на страницу «HTTPS» при входе на сайты с паролем или вводом данных вашей кредитной карты. На этом, список сайтов, использовавших безопасное соединение «HTTPS», был ограничен.
В то время реализация соединения «HTTPS» требовала от владельцев веб-сайтов больших финансовых затрат, а скорость соединения «HTTPS» была медленнее, чем обычное «HTTP» соединение. Поэтому большинство веб-сайтов просто использовали «HTTP», но это позволяло отслеживать и подделывать их, особенно, в общественных точках доступа «Wi-Fi», что сделало их слишком рискованными для использования.
Чтобы обеспечить конфиденциальность, безопасность и проверку подлинности, «Google» и другие захотели направить «Интернет» в сторону популяризации «HTTPS». Они используют для этого разные способы: протокол «HTTPS» теперь даже быстрее, чем «HTTP», благодаря новым технологиям, и владельцы сайтов могут получить бесплатные криптографические «SSL-сертификаты» для шифрования своих сайтов от публичного центра сертификации «Let’s Encrypt». «Google» предпочитает сайты, использующие «HTTPS», и сильнее продвигает их в результатах поисковой выдачи «Google», повышая их посещаемость и увеличивая их репутацию в глазах пользователей.
Согласно данным «Google», 75% веб-сайтов, посещенных пользователями в веб-браузере «Google Chrome» в операционной системе «Windows», использовали безопасное соединение «HTTPS». Поэтому пришло время принять за стандарт соединение «HTTPS» и начать предупреждать пользователей веб-сайтов о не защищенности соединения «HTTP».
Подводя промежуточный итог, можно утверждать, что критических изменений не произошло. «HTTP» протоколы имеют определенные уязвимости в защите при передаче данных, и мошенники могут ими воспользоваться для похищения конфиденциальной информации пользователя. «Google» и другие популярные компании призывают владельцев веб-сайтов переходить на современный вид протокола «HTTPS», принимая его за новый стандарт соединения, и предупреждая пользователей о протоколе «HTTP», как о незащищенном его виде. Переход на «HTTPS» сделает «Интернет» быстрее, благодаря применению новых технологий, и улучшит общую безопасность и конфиденциальность, а также повысит защищенность общественных точек доступа «Wi-Fi».
Причинами могут быть следующие:
1. Ваш антивирус блокирует подключение. В этом случае вам нужно отключить антивирус или добавить сайт в список исключений.
2. Вы пытаетесь подключиться к сайту, который не имеет сертификата SSL. В этом случае вам нужно убедиться, что сайт имеет сертификат SSL, или использовать HTTPS-версию сайта.
3. Ваш браузер устарел. В этом случае вам нужно обновить Chrome до последней версии.