Chrome 68 dnes weby bez HTTPS označí za nezabezpečené. Budou to i některá česká ministerstva

Ten, kdo nešifruje provoz stránek pomocí HTTPS, má ode dneška problém. Chrome takové weby začíná označovat za nezabezpečené. Jakých nejnavštěvovanějších webů se to týká globálně i v Česku?

6
Google Chrome
Google Chrome

Přišel den s velkým D. Chrome 68 se dnes oficiálně dostane do distribuce pro všechny běžné uživatele a uživatelky, přičemž pro web bude představovat aspoň krátkodobě zlomové vydání. Jak už Google kdysi upozornil, plán na označování webů, jež nepoužívají šifrovaný protokol HTTPS, byl dlouhodobý a složený z malých kroků.

Už roce 2015 firma očekávala, že web bude časem kompletně šifrovaný.

Cesta za šifrovanými weby

Chrome 56 za nezabezpečené označil weby s přihlašovacími formuláři jedoucí na HTTP, byť nijak agresivně. Chrome 62 během podzimu 2017 za nezabezpečené označil navíc také weby používající HTTP, které obsahovaly jiné typy formulářů. V únoru tohoto roku pak Google oznámil poslední krok – Chrome 68 označí za nezabezpečené všechny weby komunikující skrze HTTP.

Tip: Novinky kolem Chromu sledujte pod příslušným štítkem

Podle Googlu v únoru 81 ze 100 nejnavštěvovanějších stránek používalo HTTPS. Pokud narazíte na web používající nešifrovaný HTTP, Chrome 68 v adresním řádku řekne, že jste navštívili nezabezpečenou stránku. Pokud si vzpomenete na původní návrhy, mělo jít o mnohem křiklavější upozornění. Současná podoba se skládá ze šedivého popisku, který je dle mého názoru snadné přehlédnout.

Chrome 678 stále výrazně indikuje použití HTTPS, k tomu ale weby jedoucí na HTTP označuje za neebezpečné
Chrome 678 stále výrazně indikuje použití HTTPS, k tomu ale weby jedoucí na HTTP označuje za neebezpečné

Google chce, aby HTTPS bylo běžné. Proto u šifrovaných webů v adresním řádku v budoucnu nehodlá zobrazovat výrazný indikátor, zvýraznit chce jen stavy lišící se od stavu normality, kde normalitou myslíme používání HTTPS. Odebrání výrazného indikátoru zabezpečeného webu nás nicméně čeká až ve Chromu 69. V něm bychom stále měli spatřit malý zámek, ale i ten by se časem měl vytratit.

Jaké weby jsou nezabezpečené?

Zatímco změna chování Chromu byla oznámena dopředu, weby měly dost času na to, situaci řešit. Ve výsledku je pro všechny výhra, když bude veškerý přenos zabezpečený, těžko se hledají pořádné protiargumenty. CloudFlare tvrdí, že většina webů ze seznamu milionu nejnavštěvovanějších stránek je nezabezpečených. (Google se zaměřuje na data ze svého prohlížeče a na mnohem menší výsek stránek.)

Bezpečnostní expert Troy Hunt, známý mj. z projektu Have I Been Pwned, spojil síly se Scottem Helme, což je další bezpečnostní expert. Hunt zanalyzoval nejnavštěvovanější webyty, které nepoužívají HTTPS (včetně těch, které někdy HTTPS použijí, ale jindy ne), vystavil na seznamu na adrese whynohttps.com. Ty seřadil sestupně podle počtu název, přičemž rank převzal z Alexy.

Ze seznamu vyplývá, že nemalou měrou se na nebezpečných přenosech podíly čínské weby, ačkoli nechybí ani jiní velcí hráči západního světa jako t.co (zkracovač adres na Twitteru), bbc.com nebo foxnews.com. Jestliže tento seznam zobrazuje stovku nejnavštěvovanějších webů globálně, které nepoužívají HTTPS, whynohttps.com nabízí také seznamy nezabezpečených stránek v jednotlivých zemích, viz spodní část stránky.

Česku k padesátce nejnavštěvovanějších nezabezpečených webů patří blesk.cz, ceskatelevize.cz nebo nova.cz. Nechybí zde ani sdílecí služba hellspy.cz, stránky dvou ministerstev (mvcr.czmzv.cz) nebo dokonce platební služba gpwebpay.com, kde je nepoužití HTTPS zřejmě vůbec nejrizikovější.

Scott Helme v posledních letech vytahuje data z Alexy o milionu nejnavštěvovanějších stránek globálně. V únoru z těchto dat vyplývalo, že HTTPS používá jen 38 % z nich. Stav se ale lepší, protože půl roku předtím šlo o hodnotu o třetinu vyšší.

Chrome 68 dnes weby bez HTTPS označí za nezabezpečené. Budou to i některá česká ministerstva

Ohodnoťte tento článek!
5 (100%) 5 hlas/ů

6 KOMENTÁŘE

  1. Tak mzv.cz již přesměrovává hned na https.
    Ale Ministerstvo vnitra je chutné – kompletně nezabezpečené mvcr.cz + policie.cz + hzscr.cz

    Ty warez a porno weby jsou taky síly. Provozovatelé mohli trochu myslet na uživatele. Tak snad to zabezpečí.

  2. Tak česká televize má nezabezpečenou vlastně jen úvodní stránku, dále je vše přesměrováno na zabezpečenou část. To, že nejsou zabezpečené weby jako Hellspy, Blesk, či Nova tam musí být jasný záměr, proč tomu tak není, od takových srač**, člověk ani nemůže nic dobrého očekávat.