На сайте Chromium Security компания выложила на обсуждение идею: пользовательские агенты в обязательном порядке должны помечать HTTP-сайты как небезопасные и информировать об этом пользователя.

Google занимает агрессивную и напористую позицию в вопросе продвижения SSL/TLS в Интернете. Только за 2014 год компания успела:

• отправить в утиль поддержку SSLv3 за недостаточную безопасность протокола;
• вытеснить хэш-алгоритм SHA-1 в пользу SHA-2;
• ввести собственные методы проверки сертификатов по причине ущербности стандартных процедур;
• и самое главное - сайты, использующие HTTPS получают более высокое ранжирование по сравнению с сайтами, использующими HTTP.

А готовы ли к этим нововведениям другие вендоры - не говоря уже о большинстве пользователей?

Да, HTTP, бесспорно, не обеспечивает безопасности данных. Стоит ли сообщать об этом пользователю? Большинство сайтов использует HTTP, а не HTTPS. А значит, пользователи, зашедшие на хорошо знакомый им сайт, начнут получать предупреждения о безопасности. Формально - для их же собственного блага, фактически - это лишь усиление атмосферы стресса и лишняя нагрузка на техподдержку ресурса.

И худшим моментом может стать игнорирование предупреждений, примерно как в сказке про пастушка, кричавшего "Волк!". Столкнувшись с реальной опасностью (скажем, фишинговым сайтом), пользователи, привычные к ложным "срабатываниям", проигнорируют предупреждение о реальной опасности.

Идея, предлагаемая Google, вовсе не плоха. Она преждевременна. Пометка HTTP-страниц как небезопасных перекладывает конечное решение на плечи пользователя, а такой вариант чреват только дополнительными проблемами.

Стоит напомнить, что всё это - лишь пробный шар, а не новые правила, руководствуясь которыми будет тот же Chrome в ближайшее время.