Apple анонсировала планы по усилению безопасности Safari для сайтов, использующих HTTPS

Ben Lovejoy | Понедельник, 24 февраля, 2020, 08:15.

Avatar for Ben Lovejoy
| 24 февраля 2020 г. — 4:15 PT
Apple will boost Safari security from September 1

Apple объявила, что с 1 сентября усилит безопасность Safari для защищенных веб-сайтов. С этой даты браузер будет принимать только HTTPS-сертификаты, выданные в течение последних 13 месяцев.

Хотя это техническое изменение, оно должно обеспечить большую защиту от двух отдельных рисков …

Предыстория

HTTPS — это безопасная версия стандартного веб-протокола HTTP. Это означает, что связь между пользователем и сервером шифруется в обоих направлениях.

HTTPS защищает от так называемых атак «человек посередине», когда кто-то создает точку доступа Wi-Fi с невинным названием и затем перехватывает весь трафик, проходящий через нее. При обычном HTTP весь контент — включая имена пользователей и пароли — передается в открытом тексте. С HTTPS злоумышленник получит только бессмыслицу.

Чтобы браузер мог подключиться к HTTPS-сайту, он проверяет наличие у сайта действительного сертификата безопасности. По сути, это доказательство аудита третьей стороной, подтверждающее, что сайт действительно зашифрован.

Сертификаты показывают только то, что веб-сайт использовал последний стандарт шифрования HTTPS на момент выдачи, поэтому более ранняя дата выдачи означает больший риск того, что сайт больше не использует последние меры безопасности. Существует также опасность компрометации сертификата злоумышленниками, что делает его бесполезным; сокращение срока действия сертификата также снижает этот риск.

Анонс Apple об усилении безопасности Safari

Safari ранее принимал сертификаты, выданные до 825 дней назад. Как сообщает TNW, компания заявляет, что с 1 сентября любой сертификат, выданный более 398 дней назад (13 месяцев), будет отклоняться. Это означает, что Safari предупредит вас о недействительности сертификата и посоветует не подключаться к сайту.

Хотя это делает работу пользователей безопаснее, некоторые полагают, что план Apple может иметь непреднамеренные последствия. Некоторые утверждают, что это делает веб-сайты более зависимыми от сторонних сервисов. Даже если они бесплатны, существует риск, что сервис обанкротится или будет скомпрометирован.

Однако многие сайты размещены на крупных облачных платформах, таких как WordPress, где хостинговая компания занимается сертификатами, поэтому для большинства сайтов это может не представлять значительной проблемы.