+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

20% найбільших у світі сайтів не використовують протокол HTTPS з підтримкою шифрування

20% найбільших у світі сайтів не використовують протокол HTTPS з підтримкою шифрування

20% найбільших у світі сайтів не використовують протокол HTTPS з підтримкою шифрування, незважаючи на обмеження, з якими вони стикаються у зв'язку з цим.

За даними Google, 79 із 100 найпопулярніших веб-ресурсів, не пов'язаних з компанією, не використовують сертифікат для захищених HTTPS-з'єднань. Таку безпеку ігнорують, зокрема, найбільша у світі база даних та інтернет-портал про кінематограф IMDB та газета The New York Times. Правда, HTTP застосовується не на всіх сторінках сайтів зазначених та інших великих компаній.

Автори рейтингу Alexa, які збирають статистику відвідуваності сайтів, склали список ресурсів, які автоматично не перенаправляють небезпечні запити у відповідь на безпечні. Дані Google підтверджуються: 20% із найбільш відвідуваних сайтів належать до розряду небезпечних.

Значок захищеного з'єднання HTTPS став стандартним і навіть необхідним атрибутом будь-якого серйозного сайту. Якщо сертифікат відсутній, майже всі останні браузери показують попередження, що з'єднання з сайтом «не захищене» і не рекомендують передавати на нього конфіденційну інформацію. Відсутність HTTPS впливає на позиції в пошуковій видачі і істотно впливає на приватність в цілому.

Раніше впровадження HTTPS було вельми дорогим для сайтів, особливо невеликих, але до квітня 2019 працює безліч компаній, що пропонують безкоштовну і дуже швидку установку SSL-сертифікатів. Наприклад, можна відзначити сервіс Lets's Encrypt, що забезпечує автоматичну видачу безкоштовних сертифікатів для TLS-шифрування і підтримується Google на правах платинового члена.

Однак великі сайти не поспішають повністю переходити на HTTPS, вважаючи цю міграцію технічно складною та найчастіше невигідною. Плануючи такий перехід, компанії, як правило, задають собі кілька питань: «Чи не стане мережа доставки дорожчою у випадку з HTTPS?», «Чи буде сторонній контент на сайті включати HTTPS?» та ін. Компанії доводиться проводити безліч тестувань та виправляти численні помилки перед тим, як протокол почне нормально функціонувати.

Якщо HTML-ресурси, які надає компанія, мають посилання (картинки, скрипти…) на різні хости і не використовуються відносні URL, то перехід на HTTPS ускладнюється.

Установка HTTPS може трохи лякати непідготовленого користувача - вона вимагає багатьох кроків за участю різних сторін, а також специфічних знань криптографії та серверних конфігурацій, та й взагалі загалом здається складною.

Крім того, за словами експерта в галузі інформаційної безпеки Malwarebytes, HTTPS не гарантує 100-відсоткову безпеку. Наприклад, деякі сайти можуть використовувати протокол на головній сторінці, але не включити його в інші сторінки та сервіси

Перевірка 10 000 провідних сайтів з рейтингу Alexa показала наступне: багато з них піддаються критичним уразливим протоколам SSL/TLS, зазвичай через піддомени або залежності. Вразливі криптографічні конфігурації виявлено на 5574 хостах, тобто приблизно на 5,5% від загальної кількості.

За словами авторів дослідження, складність сучасних веб-додатків багаторазово збільшує поверхню атаки. Проблему посилює відсутність офіційно схваленого та узгодженого списку рекомендованих налаштувань HTTPS. Так, Mozilla SSL Configuration Generator пропонує кілька варіантів конфігурації залежно від необхідного рівня захисту.

Інші новини

Найкраща ціна