В сторону HTTPS по умолчанию (блог Chrome) Перевод
За последние несколько лет более 90% переходов пользователей Chrome приходилось на сайты HTTPS на всех основных платформах. К счастью, это означает, что большая часть трафика зашифрована и аутентифицирована и, таким образом, защищена от сетевых атак. Тем не менее, 5−10% трафика остаются на HTTP, что позволяет злоумышленникам подслушивать или изменять эти данные.
Chrome показывает предупреждение в адресной строке, когда соединение с сайтом небезопасно, но мы считаем, что этого недостаточно: мало того, что многие люди не замечают этого предупреждения, но к тому времени, когда кто-то замечает предупреждение, ущерб может быть уже сделанный.
Мы считаем, что Интернет должен быть безопасным по умолчанию. Режим HTTPS-First позволяет Chrome выполнять именно это обещание, получая от вас явное разрешение перед небезопасным подключением к сайту. Наша цель — в конечном итоге включить этот режим для всех по умолчанию. Хотя Интернет еще не совсем готов к повсеместному включению режима HTTPS-First сегодня, мы объявляем о нескольких важных шагах на пути к этой цели.
Автоматические обновления
Chrome автоматически обновит все переходы с http:// до https : //, даже если вы нажмете на ссылку, явно объявляющую http://. Это работает очень похоже на HSTSобновление, но Chrome обнаружит сбой этих обновлений (например, из-за того, что сайт предоставил недействительный сертификат или возвращает HTTP 404), и автоматически переключится на http://.
Это изменение гарантирует, что Chrome будет использовать небезопасный HTTP только тогда, когда HTTPS действительно недоступен, а не потому, что вы нажали на устаревшую небезопасную ссылку. В настоящее время мы экспериментируем с этим изменением в Chrome версии 115, работаем над стандартизацией поведения в Интернете и планируем скоро развернуть эту функцию для всех.
Хотя это изменение не может защитить от активных сетевых злоумышленников, оно является ступенькой к режиму HTTPS-First для всех и защищает больше трафика от пассивных сетевых перехватчиков.
Читать далее…
https://blog.chromium.org/2023/08/towards-https-by-default.html
Есть вебмастера, которые хорошо все это знают, но все же думают (не без оснований), что HTTPS бесполезен. Я знаю по крайней мере одного веб-мастера, чей статический веб-сайт обслуживается по протоколу HTTP, и он не видит причин заниматься шифрованием. )
Я сам такую позицию занимал долгое время. Только в начале этого месяца всё же сделал у себя поддержку https, но и то опциональную, при желании можно зайти на сайт и через http.
А соображения такие: HTTPS — это защита от атак man-in-the-middle, то есть подмены траффика на промежуточных узлах. Но шифровать/расшифровывать ту информацию, на которую никто в здравом уме атаку совершать не будет (типа моего блога) — это напрасная трата ресурсов процессоров и увеличение времени ответа сайта. Кроме того, у пользователей старых компьютеров могут быть сложности из-за устаревания сертификатов. (Сам сталкивался с подобным, когда пытался хоть куда-нибудь зайти из-под Linux, установленного в 2014 году и с тех пор не обновлявшегося.)