В среде веб-мастеров, SEO-специалистов и простых пользователей сети активно обсуждается вопрос о том зачем нужен https и нужно ли переводить сайты на этот протокол. Попробуем разобраться.
Суть проблемы
Когда пользователь открывает абсолютно любой сайт в сети, его браузер устанавливает связь с сервером, на котором расположен этот сайт и обменивается с ним информацией. В случае с обычным протоколом HTTP, все данные между пользователем и сервером передаются в открытом виде.
Физически контролировать отсутствие прослушивания такой информации нет никакой возможности не только у обычных пользователей, но и у крупных организаций, поскольку выходя за пределы вашей комнаты/здания, данные попадают сначала на оборудование вашего локального провайдера, потом на оборудование магистрального провайдера, потом на оборудование другого магистрального провайдера со стороны сервера, потом на оборудование локального провайдера со стороны сервера и так далее, на всех этих этапах возможен как банальный перехват (прослушка) информации, так и атаки типа Man In The Middle — когда злоумышленник не только получает доступ к самим данным, но и получает возможность подменять передаваемые данные на пути от пользователя к серверу и обратно. Ниже на картинке изображена карта подводных кабелей интернета. Возможно, читая эту заметку, ее содержимое долетело до вашего браузера по одному из них.
Но если при просмотре новостей возможность прослушки или даже подмены сетевого трафика не несет серьезной угрозы (хотя ситуации могут быть разные), то когда вы вводите свои логин и пароль для авторизации на каком-нибудь ресурсе или вводите данные кредитной карты оплачивая цифровой контент, или заполняете и отправляете на сервер форму со своими персональными данными, это уже становится серьезной угрозой. Единственным способом защитить такие данные является использование защищенного протокола HTTPS (или любой другой технологии, шифрующей передаваемые данные от клиента до сервера и обратно). По сути HTTPS является обычным HTTP, работающим через шифрованные транспортные механизмы SSL и TLS. Разбирать принципы их работы здесь не будем, так как заметка немного не об этом, к тому же все это неплохо описано в Википедии.
Как было раньше и что предпринимается сейчас
Раньше вопрос использования или не использования HTTPS на своих сайтах решался исключительно владельцами ресурсов и какого-то особого давления на них в этом плане не оказывалось. Максимум, что грозило тем, кто не использовал HTTPS на своих сайтах это небольшие репутационные потери от публикаций на специализированных ресурсах типа Хабрахабра.
Сейчас сделать глобальную сеть более защищенной решил Google, а за ним в этом рвении подтянулись и другие поисковики и производители браузеров. Сначала поисковый гигант начал понижать в поисковой выдаче сайты без https. Затем ввели маркировку в своем браузере Google Chrome для сайтов с https и прошедшими проверку сертификатом:
для сайтов с https, но не прошедшими проверку сертификата (в данном случае истек срок действия):
Сайты без https вообще пока что маркируются нейтрально:
Но это только пока. Скоро Google навесит и на такие сайты позорное клеймо «Ненадежный».
Зачем все это?
И все-таки, отвечая на вопрос заголовка, зачем тот же Google хочет заставить всех (или почти всех) перейти на https?
Версия оптимистическая: корпорация бобра хочет повысить общую безопасность Интернета, привить культуру сетевой гигиены и защитить людей от фишинговых сайтов (по сути сайты с https проходят еще и проверку подлинности, помимо организации шифрования защиты трафика).
Версия конспирологическая: Google в сговоре с удостоверяющими центрами и имеет % от продажи SSL-сертификатов (да, они обычно не бесплатные).
Какой версии придерживаться, решать вам, есть еще промежуточное мнение, что денежный вопрос здесь не на последнем месте в любом случае, даже если считать, что намерения Google только благие. Ведь если пользователи будут постоянно обнаруживать факты утечки их информации, попадать на фишинговые сайты, ловить троянов, то многие могут просто решить гораздо реже использовать Интернет и соответственно гораздо реже смотреть рекламу. Тоже какая-то конспирология получилась, но скорее всего всех рано или поздно заставят перейти на https.