Зеленый значок замка в строке URL больше не является символом, которому можно доверять

В течение многих лет вам постоянно запрещали вводить вашу личную информацию на веб-сайте, на котором в адресной строке нет зеленого замка. Некоторые из вас прислушались к этому совету, а некоторые нет, но задумывались ли вы когда-нибудь, что означает этот зеленый замок и как он работает?
Хотя такие браузеры, как Google Chrome, теперь постепенно его прекращают (причины, которые станут понятны через минуту), зеленый замок все еще общепризнан как признак того, что просматриваемый вами сайт имеет сертификат SSL и загружен по протоколу HTTPS. Это, в свою очередь, означает, что вся информация, поступающая с веб-сайта и отправляющаяся на него, зашифрована и защищена от атак «человек посередине».
Когда-то у экспертов была еще одна причина предупредить вас, чтобы вы не вводили свои данные на веб-сайты, которые не были загружены через HTTPS. Сертификаты SSL выдаются центрами сертификации (ЦС), которые взимали за них несколько сотен долларов в год. Как и ожидалось, мошенники не были готовы выложить такие деньги, чтобы их фишинговые страницы выглядели как настоящие, и даже если бы они были, они не смогли бы пройти некоторые ручные проверки, которые были сделаны в те дни, Другими словами, реальные формы входа в систему Amazon имели зеленые блокировки, а поддельные - нет. Это, к сожалению, уже не так.
Table of Contents
Появление бесплатных SSL-сертификатов и их влияние на интернет
К сожалению, мошенники были не единственными, кто не смог направить свои сайты через HTTPS. SSL-сертификаты были слишком дороги для многих законных владельцев веб-сайтов, а это означало, что многие интернет-магазины оставляли данные своих клиентов открытыми. Что-то должно было быть сделано.
В 2014 году был создан новый ЦС под названием Let's Encrypt, который начал предлагать SSL-сертификаты совершенно бесплатно. В интернете понравилась идея.
Let's Encrypt официально вышла из беты в апреле 2016 года, когда она с гордостью объявила, что количество выданных сертификатов колебалось около 1,7 миллиона. Всего четырнадцать месяцев спустя было выдано более 100 миллионов сертификатов Let's Encrypt.
Бесплатные SSL-сертификаты теперь предлагаются и другими центрами сертификации, и из-за них HTTPS становится нормой, а не исключением. В августе специалист по безопасности Скотт Хельме заявил, что впервые более половины сайтов Alexa Top 1 Million были загружены по протоколу HTTPS. Этот сдвиг побудил производителей браузеров отказаться от зеленого значка блокировки и заменить его на более крупный знак «Незащищенный», если страница не загружена по протоколу HTTPS. В самом деле, замок не так полезен, как раньше.
Почти 50% всех фишинговых страниц теперь загружаются через HTTPS
Появление бесплатных SSL-сертификатов - одна из хороших вещей, которые произошли с миром в последнее время. Несмотря на то, что они не являются панацеей, они позволили небольшим онлайн-поставщикам не только выжить, но и процветать, и сейчас даже самые простые веб-сайты HTML не имеют оправдания для работы по HTTP.
К сожалению, если сертификаты SSL бесплатны и их легко настроить для законных владельцев веб-сайтов, они также бесплатны и просты в настройке для мошенников. Фактически, PhishLabs, компания по разведке угроз и смягчению их последствий, сообщила Брайану Кребсу, что почти половина (около 49%) всех фишинговых страниц, обнаруженных в третьем квартале этого года, были загружены по протоколу HTTPS. По словам PhishLabs, это выросло с 35% во втором квартале и до 33% в первом квартале.
Мошенники активно настраивают SSL-сертификаты на своих страницах мошенничества, отчасти потому, что это легко сделать, и они ничего не стоят, а отчасти из-за изменений, которые внедряют производители браузеров. Они понимают, что пользователи с гораздо меньшей вероятностью будут передавать свою личную информацию на веб-сайт, который загружается под видимым предупреждением «Незащищенный».
Что мы можем сделать по этому поводу?
Означает ли это, что решение производителей браузеров отойти от зеленого замка является огромной ошибкой? Нет, это не так. Простой факт в том, что значок замка никогда не будет таким полезным, как раньше. Если он останется, это не повлияет на текущую ситуацию, потому что, если мошенники решат, что им это нужно, они просто получат бесплатный сертификат SSL.
Разве мы не должны избавиться от бесплатных SSL-сертификатов? Нет, мы не должны Отказ поставщикам в возможности бесплатной защиты данных своих клиентов станет огромным скачком назад и поставит под серьезную угрозу личную информацию миллионов людей. Вместо этого нам нужно научить как можно больше пользователей тому, что такое HTTPS.
HTTPS не является показателем надежности. Если его нет, вы можете быть уверены, что просматриваемому веб-сайту нельзя доверять, но даже если он есть, вы все равно можете посмотреть на мошенников. Есть и другие факторы, на которые вам следует обратить более пристальное внимание.