HTTPS: часто задаваемые вопросы

HTTPS в сервисах Google

Что такое шифрование?

Шифрование – это современный метод защиты электронной информации от несанкционированного прочтения. Данные записываются таким образом, чтобы расшифровать их можно было только при наличии ключа. А при защите устройства доступ к его системе можно получить только с помощью PIN-кода или специального сложного алгоритма. Современная криптография основана на математических методах.

Что такое HTTPS?

HTTP – это протокол, с помощью которого браузеры подключаются к веб-сайтам, а HTTPS представляет собой зашифрованное, более безопасное соединение HTTP. Если URL начинается с префикса HTTPS, а не HTTP, значит ваш обмен данными с веб-сайтом защищен. В большинстве браузеров при этом отображается специальный символ. В Chrome это зеленый значок замка.

Зачем нужен протокол HTTPS?

Даже если ваш трафик не содержит особо важных данных, советуем вам реализовать на своем сайте протокол HTTPS, чтобы защитить себя и пользователей от мошенников, а также использовать некоторые новые функции современных веб-платформ.

Какова политика Google в отношении HTTPS?

Мы уверены, что надежное шифрование необходимо для безопасности всех пользователей Интернета, и поэтому работаем над тем, чтобы реализовать его во всех наших сервисах. Насколько они уже защищены, можно узнать на странице "HTTPS в сервисах Google".

Для чего необходимо шифрование при передаче данных?

На пути между сервером и пользователем трафик проходит через сложную систему телекоммуникационных сетей, которые бывают подвержены вмешательству злоумышленников. Кроме того, мы используем множество мобильных приложений, из которых практически никогда не выходим и в которых храним личные данные, такие как фотографии, переписка и т. п. Достаточно потерять смартфон или планшет, и посторонние получат доступ ко всей этой информации, а значит, смогут нанести нам вред.

С шифрованием даже при перехвате сообщений мошенники не смогут прочесть их содержание. Незашифрованные сообщения же передаются в виде "открытого текста". А если ваше устройство защищено PIN-кодом, вор не получит доступ к данным, а сможет лишь стереть их. Это лучше, чем если бы он начал совершать какие-либо действия от вашего лица.

Какие бывают типы шифрования?

Шифрование при пересылке защищает трафик на пути между пользователем и сервером. Например, если вы указываете данные банковской карты на странице интернет-магазина, использующей протокол HTTPS, их сможет прочитать только интернет-магазин и вы сами.

При абонентском шифровании только у отправителя и получателя информации есть ключ к шифру, а провайдер интернет-соединения лишь организует ее передачу, но не может прочитать.

Также выделяют шифрование статичных данных – таких, которые хранятся на компьютере или сервере и никуда не пересылаются. Это нужно, к примеру, на случай, если ваш компьютер украдут.

Какие протоколы представлены в этих таблицах?

В этих таблицах представлена статистика запросов по протоколам HTTP, HTTP/2, HTTPS, SPDY и QUIC.

Какие протоколы обеспечивают шифрование?

Запросы HTTPS, SPDY и QUIC считаются защищенными, потому что в них по умолчанию используется технология TLS . HTTP/2 указан потому, что по этому протоколу мы поддерживаем только зашифрованные подключения.

Где найти информацию о других протоколах?

В настоящее время мы публикуем данные об использовании TLS в Gmail. Остальные протоколы, упомянутые выше, не затронуты в этом отчете.

Почему среди сервисов в таблице нет Google Поиска?

Серверы Google Поиска также обрабатывают трафик некоторых других наших продуктов, поэтому мы не можем выделить Поиск в отдельную категорию, иначе данные будут неточные.

Есть ли точные данные за период до декабря 2013 г.?

К сожалению, нет. У нас нет точной информации о применении HTTPS до декабря 2013 г.

Откуда вы получаете информацию об использовании HTTPS?

Данные поступают от пользователей Chrome, которые согласились отправлять в Google статистику использования. При этом страна определяется по IP-адресу.

Почему для анализа выбраны именно эти десять стран?

В этих странах больше всего пользователей браузера Chrome, что обеспечивает наиболее достоверную статистику использования HTTPS.

 

HTTPS на самых популярных сайтах [в архиве]

Что значит "Сайт использует протокол HTTPS"?

Мы считаем, что сайт https://domain использует HTTPS, если роботу Googlebot удается перейти на него и при этом не происходит перенаправления на URL с префиксом HTTP.

Что значит "Актуальная конфигурация TLS"?

По состоянию на февраль 2016 г. мы рассматривали реализацию HTTPS на сайте как современную в том случае, если на нем использовался стандарт TLS версии 1.2 с AEAD-режимом блочного шифрования:

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Что значит "HTTPS по умолчанию"?

Это означает, что сайт перенаправляет запросы страниц HTTP на URL с HTTPS. Обратите внимание, что некоторые сайты при этом отклоняют запросы HTTPS (пример: страница http://domain перенаправляет на https://subdomain.domain, но https://domain отказывает в соединении).
Важно отметить, что даже сайты с HTTPS по умолчанию не гарантируют шифрование трафика всех своих страницБраузер Chrome подсказывает о применении HTTPS на каждой странице, которую вы посещаете. Если вы пользуетесь другим браузером, узнайте, как просмотреть в нем информацию о шифровании.

Из каких источников вы берете данные?

Мы объединили данные из нескольких источников, таких как рейтинг популярных сайтов Alexa, и собственные сведения за несколько месяцев к началу 2016 г.

Отсортированы ли сайты в списке по популярности?

Нет. Сто самых популярных сайтов, не принадлежащих Google, приведены в списке в алфавитном порядке и разделены на три категории в зависимости от наличия или отсутствия шифрования HTTPS.

Я веб-мастер одного из сайтов в списке. Можете ли вы помочь мне с переходом на HTTPS?

Сайтам из этого списка мы готовы в ограниченном объеме оказать поддержку по переходу на HTTPS. Чтобы получить более подробные сведения, прочитайте письмо, которые мы отправили вам на security@vashdomen, или напишите нам по адресу security@google.com.

 

Проверка сертификата

Что такое удостоверяющий центр?

Удостоверяющий центр – это организация, которая выдает веб-сайтам цифровые сертификаты. Операционные системы (например, Mac OS X и Windows) и веб-браузеры, такие как Chrome, Firefox, Safari, поставляются со встроенными набором корневых сертификатов доверенных центров. В типичной современной операционной системе имеется более двухсот сертификатов, в т. ч. выпущенных государственными органами. Все удостоверяющие центры обладают одинаковым авторитетом для браузеров и могут передавать права на выпуск сертификатов другим организациям.

Что представляет собой сертификат?

Когда вы переходите на веб-сайт с HTTPS-шифрованием соединения, он передает вашему браузеру цифровой сертификат, который содержит имя хоста и подписан удостоверяющим центром. Если вы доверяете этому центру, значит можно считать его сертификат надежным, а сайт – безопасным.

Для чего нужна проверка сертификата?

Текущая схема проверки сайтов предполагает, что всем удостоверяющим центрам, которых насчитывается несколько сотен, можно доверять. Но все же имеют место ошибки и злоупотребления, в результате которых выпускаются недостоверные сертификаты. Поэтому мы предлагаем всем центрам вносить сертификаты в защищенные публичные журналы Certificate Transparency, допускающие только запись новой информации. По таким журналам браузеры и любая заинтересованная сторона смогут проверять надежность того или иного веб-сайта. Это повысит ответственность удостоверяющих центров и уровень безопасности в Интернете.

Обратите внимание, что только организация, владеющая определенным доменом, может определить подлинность его сертификатов. Если сертификат представляется ненадежным, пользователь может узнать, какой удостоверяющий центр его выпустил, и принять меры.

Что представляет собой журнал проверки сертификатов?

Журнал проверки сертификатов – это сервер с поддержкой RFC 6962, который принимает от любой стороны сведения о сертификатах, выпускаемых удостоверяющими центрами. После публикации таких сведений в журнале их нельзя изменить или удалить.

Откуда вы берете сведения об указанных здесь сертификатах?

Мы добавляем сертификаты, которые публикуются в ряде журналов (зачастую самими удостоверяющими центрами), а также обнаруженные роботом Googlebot при сканировании Интернета. Каждый владелец сайта может проверить, подлинные ли сертификаты указаны для его домена в наших журналах.

Почему здесь не указан мой сертификат?

Мы публикуем информацию о сертификате, если он указан хотя бы в одном журнале проверки сертификатов. Вы также можете добавить сертификат в журнал с помощью инструментов с открытым исходным кодом, доступных по адресу https://certificate-transparency.org. Если при этом у вас возникнут трудности, свяжитесь с удостоверяющим центром.

Почему у некоторых сайтов несколько издателей сертификатов?

Многие крупные организации прибегают к услугам сразу нескольких удостоверяющих центров. Это бывает связано с договорными обязательствами, процедурой и стоимостью сертификации.

Почему в некоторых сертификатах указано несколько названий DNS?

Есть немало компаний, которые используют по одному сертификату для нескольких сайтов, например для субдоменов одного домена (как в случае с www.google.com, mail.google.com и accounts.google.com).