- 21,689
- 46
- 8 Ноя 2022
У владельцев HTTP-ресурсов остаётся ровно год на подготовку.
Уже в 2026 году Google Chrome перейдёт к новой политике безопасности и будет по умолчанию требовать HTTPS при открытии публичных сайтов. Google объявил, что с выпуском 154-й версии в октябре следующего года настройка «Всегда использовать защищённые соединения» станет стандартной. При этом доступ к страницам без HTTPS будет сопровождаться предупреждением и запросом на продолжение — но только при первом визите на незашифрованный ресурс. Повторные посещения одного и того же сайта без HTTPS не будут вызывать дополнительного уведомления, чтобы избежать излишнего раздражения пользователей.
В Google подчёркивают, что угроза, исходящая от HTTP-соединений, не является теоретической. Программы для перехвата и подмены трафика давно доступны, и уязвимости при незашифрованной передаче уже использовались для атак — от установки вредоносного кода до социальной инженерии. Даже один случай обращения по HTTP может открыть злоумышленнику доступ к устройству, особенно если страница загружает ресурсы без шифрования . В Chrome такие подключения часто остаются незаметными, так как HTTP-сайт может сразу переадресовать пользователя на HTTPS, не дав браузеру показать предупреждение.
Функция принудительного HTTPS уже давно существует как опциональная. Впервые она появилась в 2022 году. В активном режиме Chrome пытается загрузить любую страницу по HTTPS и показывает отключаемое предупреждение, если зашифрованный вариант недоступен. До сих пор настройка была доступна по выбору, но теперь она будет применяться по умолчанию — хотя и только к общедоступным ресурсам. Частные адреса, например, IP-устройства в домашней сети или ссылки вида intranet/, под это правило не попадут.
Разграничение между публичными и приватными сайтами стало ключевым решением, позволившим снизить нагрузку на пользователей. Как показали данные внутреннего эксперимента в Chrome 141, большинство пользователей сталкиваются с предупреждением не чаще одного раза в неделю, а 95 % участников — не более трёх раз за этот период.
Основной объём HTTP-навигаций связан именно с приватными адресами, которые сложно перевести на HTTPS из-за отсутствия уникального владельца, что не позволяет получить сертификат. При этом такие соединения менее опасны, так как атакующий должен находиться в той же локальной сети.
Для пользователей, которые часто взаимодействуют с внутренними сервисами и не нуждаются в избыточных оповещениях, предусмотрен облегчённый режим, при котором требование HTTPS применяется только к общедоступным сайтам. Именно этот вариант будет использоваться по умолчанию начиная с Chrome 154. Первым этапом станет включение настройки в апреле 2026 года — в версии Chrome 147 — для пользователей, которые ранее выбрали расширенную защиту браузера .
Чтобы подготовиться к изменениям, в Google уже начали связываться с владельцами сайтов, которые до сих пор используют HTTP, включая те, что выполняют незаметную переадресацию на зашифрованные страницы. Переход на HTTPS в таких случаях не требует значительных усилий, однако до сих пор оставался без внимания.
Кроме того, компания продолжает развивать механизм безопасного доступа к локальным устройствам — например, через разрешения, позволяющие HTTPS-сайтам отправлять запросы на локальные IP без блокировки из-за «смешанного контента». Это может упростить перевод и внутренних порталов на защищённый протокол.
Команда Chrome Security рассчитывает, что автоматическое включение HTTPS-соединений существенно повысит защиту пользователей. В дальнейшем разработчики планируют снизить барьеры для получения сертификатов даже в локальных сетях, чтобы расширить охват и устранить оставшиеся лазейки в модели безопасности браузера.
Уже в 2026 году Google Chrome перейдёт к новой политике безопасности и будет по умолчанию требовать HTTPS при открытии публичных сайтов. Google объявил, что с выпуском 154-й версии в октябре следующего года настройка «Всегда использовать защищённые соединения» станет стандартной. При этом доступ к страницам без HTTPS будет сопровождаться предупреждением и запросом на продолжение — но только при первом визите на незашифрованный ресурс. Повторные посещения одного и того же сайта без HTTPS не будут вызывать дополнительного уведомления, чтобы избежать излишнего раздражения пользователей.
В Google подчёркивают, что угроза, исходящая от HTTP-соединений, не является теоретической. Программы для перехвата и подмены трафика давно доступны, и уязвимости при незашифрованной передаче уже использовались для атак — от установки вредоносного кода до социальной инженерии. Даже один случай обращения по HTTP может открыть злоумышленнику доступ к устройству, особенно если страница загружает ресурсы без шифрования . В Chrome такие подключения часто остаются незаметными, так как HTTP-сайт может сразу переадресовать пользователя на HTTPS, не дав браузеру показать предупреждение.
Функция принудительного HTTPS уже давно существует как опциональная. Впервые она появилась в 2022 году. В активном режиме Chrome пытается загрузить любую страницу по HTTPS и показывает отключаемое предупреждение, если зашифрованный вариант недоступен. До сих пор настройка была доступна по выбору, но теперь она будет применяться по умолчанию — хотя и только к общедоступным ресурсам. Частные адреса, например, IP-устройства в домашней сети или ссылки вида intranet/, под это правило не попадут.
Разграничение между публичными и приватными сайтами стало ключевым решением, позволившим снизить нагрузку на пользователей. Как показали данные внутреннего эксперимента в Chrome 141, большинство пользователей сталкиваются с предупреждением не чаще одного раза в неделю, а 95 % участников — не более трёх раз за этот период.
Основной объём HTTP-навигаций связан именно с приватными адресами, которые сложно перевести на HTTPS из-за отсутствия уникального владельца, что не позволяет получить сертификат. При этом такие соединения менее опасны, так как атакующий должен находиться в той же локальной сети.
Для пользователей, которые часто взаимодействуют с внутренними сервисами и не нуждаются в избыточных оповещениях, предусмотрен облегчённый режим, при котором требование HTTPS применяется только к общедоступным сайтам. Именно этот вариант будет использоваться по умолчанию начиная с Chrome 154. Первым этапом станет включение настройки в апреле 2026 года — в версии Chrome 147 — для пользователей, которые ранее выбрали расширенную защиту браузера .
Чтобы подготовиться к изменениям, в Google уже начали связываться с владельцами сайтов, которые до сих пор используют HTTP, включая те, что выполняют незаметную переадресацию на зашифрованные страницы. Переход на HTTPS в таких случаях не требует значительных усилий, однако до сих пор оставался без внимания.
Кроме того, компания продолжает развивать механизм безопасного доступа к локальным устройствам — например, через разрешения, позволяющие HTTPS-сайтам отправлять запросы на локальные IP без блокировки из-за «смешанного контента». Это может упростить перевод и внутренних порталов на защищённый протокол.
Команда Chrome Security рассчитывает, что автоматическое включение HTTPS-соединений существенно повысит защиту пользователей. В дальнейшем разработчики планируют снизить барьеры для получения сертификатов даже в локальных сетях, чтобы расширить охват и устранить оставшиеся лазейки в модели безопасности браузера.
- Источник новости
- www.securitylab.ru
