Do aktualnej sytuacji, w zakresie oznaczania stron bez certyfikatu SSL, w głównej mierze, doprowadziło Google, biorąc pod uwagę wszechobecność i popularność przeglądarki Chrome i zdolność firmy do wymuszania pewnych zachowań na internautach oraz właścicielach serwisów WWW. Teraz kolejny z gigantów technologicznych podąża śladami Google, testując ostrzeżenie HTTP „Not Secure/Niezabezpieczona” dla przeglądarki Safari. Podczas, gdy firmy takie jak Google, Cloudflare czy Mozilla wyraźnie znalazły się w czołówce inicjatywy na rzecz szyfrowania Internetu, to firmy takie jak Apple i Microsoft często zostają w tyle. Na przykład, podczas gdy Chrome i Mozilla regularnie publikują blogi opisujące zmiany, o których myślą, i dlaczego w planach są takie a nie inne zmiany, Apple wydaje się być, pod tym względem, nieco mniej przejrzysty. Kiedy Apple wydało Safari Technology Preview 70, która jest zaawansowaną przeglądarką podobną do Chrome Canary lub Firefox Nightly, dodanie ostrzeżenia HTTP zostało zapowiedziane w zasadzie jedną linijkę w informacji o wydaniu (changelog: https://webkit.org/blog/8496/release-notes-for-safari-technology-preview-70/):
Dodanie ostrzeżenia w polu adresowym przeglądarki przy wyświetleniu strony bez certyfikatu SSL”
Poniżej omawiamy jaka powyższa zmiana będzie miała wpływ na użytkowników Internetu
Testowanie „Not Secure/Niezabezpieczona” w Safari
Ostrzeżenie „Not Secure/Niezabezpieczona”, na chwilę obecną, jest widoczne jedynie w wersji Safari tzw. Technology Preview 70. Jest to wersja testowa, w której Apple wprowadza nowości, modyfikacje oraz testuje ich działanie. Zgodnie z tradycją Apple musi jeszcze odnieść się do wprowadzonej zmiany, kiedy zostanie ona dodana w wersji stabilnej przeglądarki.
Jest to dość istotne, ponieważ Safari ma bardzo wysoki udział w rynku i aktualnie jest drugą przeglądarką aktywnie penalizującą witryny HTTP. Google od lat testuje oraz wprowadza zmiany w celu wycofania HTTP. W 2014 r. Google zachęcało do przejścia na HTTPS, ogłaszając, że strony stosujące HTTPS będą wyżej w wynikach wyszukiwania niż strony bez certyfikatów SSL. Kolejnymi zmianami było ograniczenie funkcji dla stron niestosujących HTTPS. Krótko po tym zmienił się interfejs użytkownika Chrome, aby informować o tym, że strona jest zabezpieczona SSL poprzez komunikat „Secure/Zabezpieczona/Bezpieczna”. A ostatecznie latem tego roku (2018), Google w końcu dotrzymało obietnicy dodania ostrzeżenia „Not Secure/Niezabezpieczona” do paska adresu podczas odwiedzania strony HTTP. Teraz wydaje się, że Apple podąża w tym samym kierunku. Interfejs Safari znacznie różni się od interfejsu przeglądarki Chrome, więc oczywiście ostrzeżenie wygląda nieco inaczej. Apple Safari również w inny sposób wyświetla adresy URL, więc efekt końcowy będzie nieco bardziej rzucający się w oczy:
Oczywiście tak jak wspominaliśmy wcześniej, nie została podana ostateczna data wprowadzenia powyższej zmiany w stabilnej wersji przeglądarki. Tak więc zapewne na powyższą zmianę przyjdzie nam jeszcze trochę poczekać.
Dlaczego HTTP jest „złe”?
Dla tych, którzy są na bieżąco z branżą IT/Security, jest to kwestia, którą możesz pominąć. Jeśli chodzi o pozostałych czytelników, HTTP od dziesięcioleci jest sercem Internetu, ale został opracowany, gdy Internet był zupełnie inny. W okresie powstawania HTTP poufne dane nie były przekazywane, Internet był używany (z resztą również do tej pory) do swobodnej wymiany informacji. Wraz z komercjalizacją Internetu pojawiła się potrzeba bezpieczniejszych połączeń między klientami a serwerami, więc SSL/TLS został dodany do HTTP i tak powstało HTTPS. Internet nie jest zbudowany tak, że dane są przesyłane prostym ruchem do miejsca docelowego. Nie tylko komputer łączy się z witryną, którą odwiedzasz bezpośrednio. Zamiast tego twoje połączenie jest kierowane przez różne punkty w całym kraju, a nawet na świecie, zanim w końcu dotrze do celu. Dzięki połączeniu HTTP wszystkie dane znajdujące się między klientem a serwerem są wysyłane w postaci zwykłego tekstu – mogą zostać przechwycone przez osoby trzecie, które mogą nasłuchiwać na każdym z kilkudziesięciu urządzeń, przez które będzie przechodzić połączenie. Protokół HTTPS zapobiega temu, szyfrując dane, tak aby nie można było ich odczytać poza zainteresowanymi stronami. Teraz już wiesz, dlaczego firmy takie jak Google i Apple chcą, aby HTTPS stało się domyślnym połączeniem. A każdy krok, jak dodanie ostrzeżenia HTTP w Safari, spowoduje spopularyzowanie połączenia HTTPS.