世界中の人々が新しい有用な技術を発明する一方で、他の人々は、古い、証明済みの、おそらくそうではないかもしれない有用な技術のどれを、悲しいかな、危険で、有害であるかを決定します。
Google は 、2017年1月(Chromeバージョン56)からChromeにアクセスすると、HTTP経由 (つまりHTTPS経由ではない)でパスワードとクレジットカード番号を送信するサイトが安全でないとマークされると報告しました。 これは、 HTTPS以外のすべてのサイトを安全でないものとしてマークするための長期計画の一部として行われます。これにより、サイト所有者はHTTPSの使用に完全に切り替えることができます。
実際、分析はより簡単になります:ブラウザは、HTTPプロトコル経由で受信したページをマークし、パスワードまたはクレジットカード番号を入力するためのフィールドがあります-「http経由でパスワードとカード番号を渡す」ための分析は、明らかに行われません。 視覚的には、イノベーションは上の画像のようになります。
Googleが、HTTPで受信した「通常の」ページを「安全でない」と見なした理由は、転送中にHTTPプロトコル(ページコード、ファイルコンテンツ)で送信されたオブジェクトを簡単に変更できることです。 、送信されたデータの内容は非常に簡単に傍受されます。 HTTPSプロトコルを使用する場合、このようなリスクはありません。 これを念頭に置いて、企業は特定のサイトとそのページを使用する際に、リスクの視覚的な指標をユーザーに提供しようとしています。 Googleによると、現在デスクトップにダウンロードされているサイトの半分以上がHTTPSを使用するようになっています。
近い将来、Chromeは「シークレットモード」でHTTP経由で読み込まれたすべてのページを安全でないものとしてマークし始めます。 今後、GoogleはHTTPプロトコル経由で受信したすべてのページを安全でないものとしてマークし、赤い三角形でマークする予定です。今日は「間違った」HTTPSを使用して受信したページをマークします。
「すべてon HTTPS」アプローチの反対者は、次のような反論を呼びます。
-すべてのサイトがコンテンツをpr索好きな目から隠す必要はありません。 たとえば、オンラインライブラリまたは百科事典は本質的に知識の普及を目的としており、おそらく銀行のサイトよりも暗号化の必要性は低くなります。
-すべてのサイトがドメイン名を「介して」機能するわけではなく、多くのリソース(イントラネットを含む)がIPアドレスまたは「豪華」名を使用して機能します(ローカルネットワークでのみ有効、またはほとんどホストに登録されます) )、およびそのような「異常な」(実際には完全に普通の)アドレスに対しては、「合法的な」証明書を取得できません。
-暗号化により、サーバー機器とクライアントデバイスの両方に追加の負荷が発生します。これにより、特に、HTTPSで動作するサイトを使用するプロセスでスマートフォンの放電が速くなる可能性があります。
-ページの変更から身を守るという目的のために、世界のサイトのページで独自の広告をフィルタリングし、モジュールを追跡することを困難にする必要性を隠すGoogleのGoogleな疑い。
-法執行機関とプロバイダーがSORMなどのプログラムを介してトラフィックを追跡し、裁判所の命令に従って特定のリソースをブロックしようとすると、インターネットユーザーにすべてのデバイスに状態証明書をインストールするよう強制する可能性がある追加の問題、 カザフスタンおよび他のいくつかの国で行われることになっていた例に従って、現在の状態の「正当な」MITMソリューションの作業を確保するため。
特に興味深いのは、HTTPおよびHTTPS( SDPY 、 HTTP / 2などの使用を考慮に入れることを含む)を介してページを開く速度に関する議論です。これらのプロトコルへの切り替えは、1つのサーバーから提供されるサイトにとって興味深いです。 それらの使用からの加速は、TLS接続の最初の確立に費やされた時間を補います。 別のサーバーまたはCDNからリソースをダウンロードする場合、サイトを開く速度に関して追加の質問が発生するため、サイト管理者の追加の注意が必要です。