Использование незащищенных HTTP-адресов теперь устарело | LeaderSSL

Использование незащищенных HTTP-адресов теперь устарело

Компания Mozilla объявила о своем намерении постепенно сокращать использование незащищенных HTTP-адресов.

Практически все согласны с тем, что HTTPS – это путь вперед для сети. За последние месяцы Mozilla столкнулась с многочисленными запросами от IETF, IAB, W3C и американского правительства о том, что необходимо использовать универсальное кодирование с помощью интернет-приложений, что в случае с веб-средой означает переход к HTTPS.

В результате продолжительного обсуждения, которое было проведено среди подписчиков Mozilla, было принято решение сфокусировать усилия на разработке защищенной сети; возможности, связанные с незащищенной сетью, будут постепенно удаляться. Данный план будет включать в себя следующие шаги:

1. Указание даты, после которой все новые функции будут доступны только защищенным веб-сайтам.

2. Постепенное сокращение доступа к возможностям браузера для незащищенных сайтов, особенно к функциям, которые представляют угрозу пользовательской безопасности и приватности.

Чтобы выполнить первый шаг, сообщество должно договориться о дате и определиться, какие функции будут считаться «новыми». К примеру, «новыми» функциями можно считать те функции, которые невозможно реализовать с помощью polyfill-кода. В этом случае незащищенные веб-сайты по-прежнему могли бы использовать CSS и другие функции представления, поскольку страницы могут самостоятельно выводить разные эффекты (к примеру, с помощью <canvas>). Однако доступ к качественно новым функциям, таким как, к примеру, новые аппаратные возможности, был бы ограничен.

На втором шаге нужно будет найти компромисс между безопасностью и веб-совместимостью. Удаление некоторых возможностей из незащищенной сети может привести к тому, что многие сайты перестанут работать. Таким образом, компании Mozilla нужно будет отследить процент сломавшихся сайтов и сбалансировать его при помощи преимуществ в области безопасности. Mozilla также рассматривает и более мягкие ограничения, которые будут накладываться на функции, используемые незащищенными сайтами. К примеру, Firefox уже запрещает постоянный доступ к камере и микрофону для незащищенных сайтов. Также поступали предложения ограничить размер незащищенных cookie-файлов.

Следует отметить, что представленный выше план допускает использование URI-схемы «http» в старом контенте. С помощью HSTS и CSP-атрибута upgrade-insecure-requests схема «http» может быть автоматически переведена в «https», и таким образом безопасно выполнена.

Цель усилий компании - подать знак сообществу веб-разработчиков о том, что необходимо переходить к безопасным соединениям. Эта работа будет наиболее эффективной, если она будет координироваться веб-сообществом. В ближайшее время Mozilla планирует сделать некоторые предложения рабочей группе W3C WebAppSec Working Group.

Компания выражает признательность всем тем, кто поучаствовал в обсуждении этого предложения. Давайте сделаем сеть безопасной!

Ответы на популярные вопросы, связанные с постепенным отказом от незащищенных HTTP-адресов

Как только Mozilla объявила о своих планах по переходу к HTTPS, компании стали поступать многочисленные вопросы по поводу состояния современной сети, а также по поводу поддержки данного плана веб-разработчиками. В данном руководстве будут даны ответы на самые частые вопросы.

Означает ли это, что мой незащищенный сайт перестанет работать?

Нет, он будет функционировать в течение длительного времени. Переход сети к HTTPS будет продолжительным. Первое, что сделает Mozilla – это потребует HTTP для нового функционала. Таким образом, вне зависимости от того, чему посвящен ваш сайт, он будет стабильно работать месяцы или годы.

В долгосрочной перспективе компания планирует удалить или ограничить некоторые возможности, которые сейчас доступны незащищенным сайтам. Про такие изменения будет объявлено заранее, поэтому у вас всегда будет время, чтобы обновить свой сайт (отказаться от данных возможностей, если ваш сайт зависит от них) или перейти к HTTPS (мы надеемся, что вы выберете именно это). Указанные изменения будут внесены только после обстоятельной консультации с веб-сообществом, поскольку Mozilla планирует добиться надлежащего баланса между функциональностью и безопасностью.

Почему вы вынуждаете меня купить сертификат? Ведь это тяжело сделать небольшим сайтам!

Если вы хотите использовать HTTPS, вы должны будете получить сертификат. Это не означает, что вы должны обязательно его покупать! На рынке есть многочисленные провайдеры, предлагающие бесплатные сертификаты (к примеру, StartSSL, WoSign и Let’s Encrypt). Некоторые веб-платформы предлагают сертификат бесплатно (к примеру, Cloudflare). Однако бесплатные сертификаты – это не самый лучший вариант. Лучше всего использовать платные SSL-сертификаты, которые являются более надежными и доверенными. Тем, кто предпочел запустить свой собственный сервер, Mozilla предлагает генератор HTTPS-конфигурации.

Приведет ли HTTPS к тому, что мой сайт станет работать медленнее?

HTTPS – это в основном HTTP + кодирование, т.е. переход на HTTPS все же отражается на производительности. Однако в случае с современными платформами это практически незаметно. Для многих сайтов кодирование фактически станет переходом к лучшей производительности. Протокол HTTP/2 позволяет добиться значительного улучшения производительности по сравнению с HTTP/1.1, и во всех современных браузерах оно доступно только для защищенных сайтов.

Почему вы так беспокоитесь по поводу продвижения HTTPS, если система CA (центров регистрации) небезупречна?

При всех своих недостатках, та система CA, которую мы имеем сегодня, является фундаментом для всей онлайн экономики в целом. Да, система небезупречна, но она работает.

Компания Mozilla постоянно старается улучшить качество программы Mozilla CA Program, начиная с отказа от некорректных центров регистрации и заканчивая более жесткими требованиями к раскрытию информации. Организацию интересуют и новые технологии (такие как DANE и CT) для улучшения аутентификации. Однако инфраструктура PKI, существующая сегодня, достаточно сильна для того, чтобы продвигать HTTPS.

Разве это не усложняет жизнь простым сайтам и не урезает свободу слова?

Как уже было сказано выше, HTTPS все проще и проще развернуть – и это становится общим трендом индустрии. Даже если брать старый контент, всегда есть HSTS и upgrade­insecure­requests, которые позволяют облегчить миграцию.

Если касаться свободы слова, то стоит отметить, что большинство исследований в сфере анти-цензуры были направлены на улучшение приватности коммуникаций (в качестве примера можно привести SecureDrop). Следовательно, активное использование кодирования – это плюс для свободы слова.

Что по поводу сред разработки/корпоративных сред?

Вы всегда сможете настроить браузер так, чтобы учесть эти ситуации. Понятие «безопасности», принимаемое браузером в данном случае, определено в спецификации W3C’s Privileged Contexts, которая, как ожидает компания Mozilla, будет применяться для локальной политики, т.е. пользователь сам сможет настроить требуемый контекст доверия. Объедините это с существующими механизмами добавления доверенных корневых сертификатов, и вы получите удобный способ создания защищенной среды, как это уже реализовано в Mozilla.

Но на моем сайте нет ничего секретного! Почему я должен использовать кодирование?

HTTPS – это не просто кодирование. Этот протокол также обеспечивает целостность данных (т.е. ваш сайт не может быть каким-либо образом модифицирован) и аутентификацию (т.е. пользователи знают, что они подключаются именно к вам, а не к каким-то злоумышленникам). Отсутствие какого-либо из трех данных пунктов приводит к проблемам. Грамотное использование защиты позволяет предохраниться от:

· Рекламных объявлений, которые Comcast добавляли к веб-трафику своих клиентов

· Отслеживания компанией AT&T поисковых предпочтений своих пользователей

· Известной атаки под названием «Great Cannon of China», которая «положила» Github

Иными словами, если ваш сайт не является защищенным, он может использоваться против ваших пользователей и против других сайтов. Большое количество незащищенных сайтов представляет собой риск для сети.

Если вы ратуете за безопасность, почему вы так плохо относитесь к самоподписанным сертификатам?

Самоподписанные сертификаты по своей сути не так плохи. Если вы вручную готовы проверять корректность сертификата, то в таком случае это может быть даже более безопасный вариант, чем сертификат, выпущенный центром сертификации.

По какой причине браузер выдает такое предупреждение? Проблема в том, что браузер не знает, когда именно он должен получить самоподписанный сертификат, а когда – сертификат от центра сертификации. Как показывает практика, лишь некоторые легитимные сайты обладают самоподписанными сертификатами, поэтому ручная проверка является такой сложной. По этой причине браузер считает по умолчанию, что он должен получить сертификат, выпущенный CA, и что самоподписанный сертификат является подозрительным. По аналогии с этим, многие пользователи не будут изучать подробную информацию о сертификате и оценивать, является ли он корректным или нет, таким образом, браузер должен принять правильное решение от имени пользователя.

Самоподписанные сертификаты отлично подойдут, если вы расскажете браузеру про них. Либо сконфигурируйте их заранее (Preferences > Advanced > Certificates > Servers), либо примите их в появившемся диалоговом окне с предупреждением. Если у вас есть идеи, как улучшить данный опыт взаимодействия, обязательно свяжитесь с компанией.

Что по поводу моего домашнего роутера? Или принтера?

Проблема не в том, что эти устройства не могут использовать HTTPS. Проблема в том, что они не готовы к использованию сертификатов. Обычно это связано с тем, что устройство не имеет глобального уникального имени, т.е. для него нельзя выпустить сертификат, как это делается для сайта.

Компания Mozilla понимает, что есть вполне оправданная потребность в лучших технологиях в этой сфере, и она непременно поговорит с некоторыми поставщиками устройств о том, как можно исправить эту ситуацию.

Существующий план подразумевает постепенный переход к HTTPS, поэтому у компании есть время на решение данной проблемы. Как уже было сказано выше, то, что работает сегодня, будет работать какое-то время в будущем.

HTTPS – это реально что-то крутое?

Да. Это так.

По материалам: https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/