A biztonságos HTTP-kapcsolatot jelző HTTPS URL-sémát 24 éve hozta létre a Netscape, kezdetben az SSL protokoll használatával. A mai specifikáció az ezredforduló óta érvényes, és már az SSL-t követő TLS titkosítási protokollt tartalmazza. A HTTPS célja a titkosított és autentikálható online adatforgalom biztosítása, a megbízható oldalak ma már gyakorlatilag mindenhol ezt alkalmazzák az olyan, érzékeny információkat érintő webes kommunikációnál, mint amilyen a jelszavas bejelentkezés vagy a netes pénzügyi tranzakciók.

Nem véletlen, hogy a Google is már évek óta a HTTPS általánossá tételén ügyködik, kezdve azzal, hogy keresőszolgáltatásában már 2015 óta hátrébb sorolja a titkosítás nélküli oldalakat. A vállalat tavaly januártól aztán az 56-os verzióval megváltoztatta a Chrome böngésző felhasználói felületét is, azóta a címsorban biztonsági figyelmeztetést jelenít meg az olyan oldalak letöltésekor, amelyek nem HTTPS rendszerben nélkül gyűjtenek biztonsági szempontból kritikus felhasználói adatokat.

Nemsokára minden adat érzékeny adat lesz

A 2017 októberében megjelent Chrome 62 már minden HTTP oldalnál figyelmeztetett, amelyen bármilyen adatbevitelre kerül sor, az inkognitó módban megnyitott site-oknál pedig még erre sem volt szükség, ott a böngésző minden esetben kockázatosnak ítélte a HTTP protokollt.

Ez év júliusában még ennél is tovább mennek, és a Google biztonsági blogjának tegnapi bejegyzése szerint a Chrome 68-as verziójától kezdve a HTTP oldalakat alapértelmezett módon a "nem biztonságos" kategóriába sorolják majd. Aki nem használ Chrome-ot vagy eddig nem tűnt fel neki a címsoros figyelmeztetés, annak így kell elképzelnie a dolgot a kliensek oldaláról:

forrás: Google Online Security Blog

A jelzés ráadásul a jövőben pirosra vált, hogy még feltűnőbb legyen:

forrás: Google Online Security Blog

A Google szerint egyébként már a korábbi lépések is sikeresnek bizonyultak: a Chrome androidos és windowsos forgalmának már 68 százaléka biztonságos (ugyanez az arány a Chrome OS és a Mac platformokon 78 százalék), a 100 leglátogatottabb weboldalból 81 pedig már alapértelmezett módon használja a HTTPS-t.

Teljesen eltüntetnék a HTTP oldalakat

A HTTPS implementációját az utóbbi időben már automatizált szolgáltatások segítik, a Google hivatkozott posztjában is említik például a Lighthouse-t, amely tartalmaz a weboldalak HTTPS-migrációját támogató eszközöket, és amelynek a társaság ugyancsak most jelentette be a legújabb kiadását. A Lighthouse egyebek mellett megmutatja a fejlesztőknek, hogy az oldalakon melyik erőforrás töltődik HTTP-vel, és melyek azok, amelyeknél egyszerűen megoldható a HTTPS-re váltás.

A Google mostani bejegyzésében is egyértelművé teszi, hogy célja a HTTPS séma  alapértelmezetté válása a világháló egészét tekintve, ennek egyik hatékony eszköze pedig a felhasználók felvilágosíása a HTTP oldalak esetleges kockázataival kapcsolatban. A Google szerint ma már nem igaz, hogy a HTTPS bevezetése lassítaná a weboldalakat, vagy különös költségekkel járna, így arra bátorítja a fejlesztőket, hogy álljanak neki a bevezetésnek – ehhez első lépésnek ennek az útmutatónak a tanulmányozását javasolják.