15 мая 2015

Разработчики популярных веб-браузеров вынуждают владельцев сайтов переходить на использование платных SSL-сертификатов, мотивируя этот шаг заботой о безопасности Интернета.

Кого и от чего собираются защищать?

Самый массовый протокол HTTP, используемый сегодня для передачи данных в интернете, является незащищенным и передает данные в незашифрованном виде. Опасность состоит в том, что умный и хорошо мотивированный хакер может перехватить конфиденциальную информацию, которую вы передаете в процессе работы с сайтом. Например, считать пароль при входе владельца в свой аккаунт. Многие владельцы сайтов уже используют протокол HTTPS, который осуществляет передачу данных в закодированном виде. Как правило - это платежные системы, банковские сети, специальные частные и корпоративные службы, хостинг-провайдеры и т.д., то есть те ресурсы, на которых требуется повышенная безопасность передачи данных.

Обязательным приложением к протоколу HTTPS является индивидуальный электронный сертификат, привязанный к каждому пользователю и к каждому сайту. Абсолютной безопасности это не дает, но многократно увеличивает цену вопроса в отношении стоимости взлома.

Сертификаты могут быть как бесплатными (самоподписными), так и выдаваться в специализированных сертификационных центрах за деньги на определенный срок (как правило - 1 год). Хитрость заключается в том, что браузер при заходе на сайт с самоподписным сертификатом будет выдавать целый каскад предупреждений, создающий неудобства для пользователя.

Кто и как собирается контролировать Интернет?

На сегодня владелец интернет-ресурса имеет право выбора протокола передачи данных в зависимости от своих потребностей. Но, похоже, это право хотят упразднить, постепенно вытеснив бесплатный и общедоступный протокол HTTP. Инициатива этого ограничения исходит от правительства США и заинтересованных в торговле сертификатами сертификационных центров. Реализацию этого ограничения предполагается осуществить на стороне пользователя - его любимым веб-браузером.

Первыми об этих намерениях заявили 14 декабря 2014 года разработчики популярного браузера Google Chrome на своем официальном сайте chromium.org.

- В последние месяцы, - говорится на сайте, - мы получили заявления от (сертификационных центров - ред.) IETF, IAB, W3C и правительства США, призывающие к универсальному использованию шифрования Интернет-приложений web-протоколом HTTPS.

Chrome Security Team также отмечает, что в ближайшее время планируют встроить в свои браузеры предупреждение для посетителей сайтов с протоколом HTTP о том, что они подключаются к сайту по небезопасному каналу. На этом этапе создаются искусственные трудности для посетителей и создание психологического фона для подготовки аудитории к отказу от посещения сайтов по HTTP-протоколу.

На следующем этапе Chromium планирует ввести классификацию HTTPS-соединений, создающую их дискриминацию по административному признаку:

- безопасные - HTTPS с правильным сертификатом
- неблагонадежные - HTTPS, но с ресурсами, загружаемыми по незакодированному каналу
- небезопасные - неправильные сертификаты HTTPS, в частности - собственные (самоподписные) сертификаты хостеров или владельцев сайтов. Заметьте, что в этом списке обычный протокол HTTP вообще отсутствует.

Инициативу коллег подхватила и расширила компания Mozilla, являющаяся разработчиком популярного браузера FireFox, рассказав 30 апреля в своем блоге blog.mozilla.org, что уже готова начать принуждать интернет-пользователей к массовому обязательному использованию протокола HTTPS.

Браузер Firefox будет не просто предупреждать пользователей, что сайты, использующие HTTP, не являются безопасными, но и заблокирует доступ к камере, микрофону и ряду относящихся к CSS функций у таких сайтов. Это значит, что для пользователей, использующих данные браузеры, ваш сайт, работающий по незащищенному протоколу, окажется попросту неработоспособным. Ввиду широкой популярности этих браузеров, можно рассчитывать на потерю более половины аудитории такого сайта.

Как отразится блокирование популярными браузерами протоколов HTTP на владельцах сайтов?

1. Все владельцы сайтов, которые хотят, чтобы их сайты без проблем открывались в популярных web-браузерах будут обязаны ежегодно (или каждые 2-3 года) покупать сертификаты, стоимость самых дешевых из которых, на сегодня составляет около 250 грн/год (самые дорогие - около 20 тысяч (!) грн./год)
2. Сертификационным центрам будут известны личные данные (полное имя, адрес, телефон и т.д.) всех владельцев сайтов, которые будут покупать у них сертификаты. Эта информация может частично отображаться при просмотре данных о сертификатах и доступна любому пользователю. Кроме того, сертификационный центр может в любой момент по запросу "компетентных органов" или по решению суда передать все ваши личные данные кому угодно...

3. Из предыдущего пункта следует, что появится техническая возможность для контроля Вашего сайта любой третьей стороной. Например, если по какой-то причине органы цензуры посчитают, что контент Вашего сайта нарушает какие-то законы или чьи-то права, вам откажут в продаже сертификата, а при необходимости, могут легко найти вас, запросив ваши личные данные в сертификационном центре.
4. Наносится удар по сайтам мелких организаций, которым будет накладно платить еще дополнительную сумму к хостингу и домену.
5. Наносится удар по open-source проектам, которые не являются прибыльными, финансируются за счет пожертвований и не имеют возможности покупать сертификаты самостоятельно. Примером может быть sourceforge.net - один из самых больших в мире веб-сайтов для разработчиков открытого программного обеспечения.

Что получит рядовой пользователь?

1. Шифрование данных между браузером и сервером посещаемого им сайта. В ряде случаев, это хорошо, поскольку передача данных в открытом виде, как это происходит при использовании незащищенного протокола HTTP, предполагает, что любые передаваемые вами данные в интернет через формы на сайте (включая пароли) отправляются в открытом виде и могут быть перехвачены кем угодно. Но, того же результата (шифрование) можно было бы достичь используя бесплатные "самоподписные" сертификаты, если бы браузеры с ними не боролись. Разница лишь в том, что вы, не будете уверены, что сертификат, который использует данный сайт, действительно ему принадлежит. Хотя вам, как обычному пользователю, в большинстве случаев от этого ни холодно, ни жарко.
2. Ваши любимые сайты, которые не перешли на протокол HTTPS и по-прежнему используют незащищенный HTTP, либо вовсе перестанут открываться в популярных браузерах, либо будут открываться не полностью, с отключенной половиной своих возможностей.

Первая реакция Интернет-сообщества

Интернет возник и развивался как виртуальная территория, не терпящая внешнего административного вмешательства. Поэтому инициатива американского правительства и владельцев ведущих web-браузеров была встречена без восторга. Приводим наиболее характерные высказывания англоязычных пользователей (перевод) в комментариях под упомянутым сообщением в блоге

Пользователь Dan:
Ричард Барнс (глава отдела безопасности Firefox) продал свою душу дьяволу, и именно поэтому он проталкивает этот вопрос… Заставляя владельцев веб-сайтов покупать сертификаты SSL, он открывает дверь к неприкосновенности частной жизни и цензуре тех, содержание чьих сайтов не нравится правительству. И конечно же для защиты бедных и уязвимых детей от столь "опасного" веб-сайта, как WikiLeaks.

Пользователь Jens:
Говорят людям, что они заботятся о безопасности, а затем собираются использовать уже скомпрометированные технологии. Так грустно, что большинство людей не знают об этом. Заговор? - Хорошо - иногда, когда кричат "волк!", волк приходит. Посмотрите на YouTube документальные фильмы о кризисе 2008 года, о событиях 9/11 - как Федеральная резервная система обирает каждого американца. Так много странных вещей происходит. Буш говорил во всеуслышание "Давайте не будем слушать теории заговора. Давайте сосредоточим наше внимание на поимке террористов". Если вы не хотите теории заговора, то покажите общественности доказательства, вы же 90% их скрываете.

Пользователь Jason:
Так как я не технарь и не очень понимаю, что это значит по части возможности для меня иметь доступ к сайтам, к которым хочу. Тем не менее, некоторые из моих родственников и друзей имеют веб-сайты. Если я не смогу попасть на них (и на другие сайты) с использованием Firefox, я буду использовать другой браузер

Пользователь M. Edward (Ed) Borasky:
Хотя это на первый взгляд кажется удачным, оно не бесплатно для владельца сайта. Это требует покупки и установки сертификата, и его регулярное обновление.
Думаю, что мы должны плотно подумать, как сделать его бесплатным для владельца веб-сайта или придумать решение, альтернативное HTTPS

Пользователь open-source:
Почему вы наказываете проекты с открытым кодом?
Есть много интернет-провайдеров и других компаний (например, Blogger), которые также не могут обеспечить SSL для пользователей, которых вы крупно накажете этим решением.
Сайты-хостинги для программистов, такие как веб-проект Sourceforge, также не поддерживают SSL, так что вы в действительности наказываете очень большое число проектов с открытым исходным кодом, которые не могут позволить себе свой собственный веб-хостинг.
Вы должны работать, координируя усилия с промышленностью для решения этих вопросов, а не создавать неравные отношения с такими сообществами разработчиков и индивидуальными пользователями.

Источник: Пресс-служба Черкасского информационно-делового портала 15 мая 2015

‹‹ к архиву новостей