U Googlú se nejvíc trápí nepoužíváním HTTPS a TLS. Proto budou napříště označovat HTTP weby a nezašifrované maily otevřeným zámečkem, neověřeného odesílatele červeným otazníčkem.
Pro Instaluj.cz SEO specialista a copywriter Daniel Beránek:
Google stále více akcentuje šifrování
Google pokračuje v křížovém tažení proti nezašifrovaným spojením. Oživuje návrh z roku 2014 a chce weby běžící pouze na HTTP propříště označovat v prohlížeči Chrome červeným křížkem, který dá návštěvníkům jasně najevo, že jejich komunikace s webem není šifrovaná a tudíž – je nezabezpečena. Nedostatky v zabezpečení a autentizaci bude označovat i emailech Gmailu, aby své uživatele nabádal k opatrnému zacházení s nimi.
Google Chrome a HTTP spojení
Parisa Tabriz, princezna bezpečnosti Googlu, deklarovala připravenost vývojářů Chromu zřetelně označit veškeré weby běžící na HTTP coby nezabezpečené.
Navazuje tak na návrh Chrise Palmera, bezpečnostního experta z týmu Chrome, který se v diskuzním fóru Skupin Googlu objevil už 13. prosince 2014:
My, bezpečnostní tým Chromu, navrhujeme, aby uživatelské prostředí prohlížeče na základě informací user agenta označovalo nezabezpečené zdroje připojení jako jednoznačně ne-bezpečné.Palmer objasňuje i důvody tohoto návrhu: „Všichni potřebují, aby jejich webová komunikace byla zabezpečená (aka soukromá, autentifikovaná, bez cizích zásahů). Pokud bezpečnost dat není nijak zabezpečená, user agent prohlížeče by to měl explicitně sdělit uživateli, aby ten mohl učinit informované rozhodnutí o tom, jak bude se zdrojem nezabezpečených dat interagovat.“ Proto Chrome zavede pro nezabezpečené HTTP weby stejné označení, kterými již nyní označuje slabě zabezpečené HTTPS weby – například ty, které používají zastaralé hashovací algoritmy SHA-1.
Pokud chcete toto označování zprovoznit již nyní, stačí tak učinit přes rozšířená nastavení Chrome. V adresním řádku zadáte chrome://flags, vyhledáte položku Označit nezabezpečené zdroje jako nezabezpečené a z voleb vyberete právě Označit nezabezpečené zdroje jako nezabezpečené. Po restartu Chromu budou všechny HTTP weby označeny červeným křížkem.
Gmail: nezašifrované zprávy a neověřený odesílatel
Akcent zabezpečení a šifrování se line napříč všemi aplikacemi Googlu – tedy i Gmailu. John Rae-Grant z týmu Gmailu popisuje přístup k zabezpečení této služby:
Gmail vždy používal šifrování při přenosu pomocí TLS, a je-li to možné, automaticky šifruje příchozí i odchozí emaily. Implementuje průmyslové standardy autentifikace, abychom zabránili krádežím identity. Krom toho provozujeme mraky dalších bezpečnostních opatření, aby zajistili soukromí vašich emailů.Šifrování ovšem musí ovšem podporovat obě komunikující služby. Gmail proto své uživatele upozorní, pokud jim přijde email z TLS nezabezpečeného zdroje (vedle položky komu se objeví červená ikonka nezajištěného zámku ). S příchozí zprávu čtenář už nic neudělá, může maximálně odesilatele varovat, že komunikuje nezašifrovaně.
V opačném, důležitějším případě – kdy zprávu odesílají – Gmail opět upozorní svého uživatele. Po zadání emailové adresy směřující na nezabezpečenou službu, se znovu objeví tato ikona – tentokrát má však uživatele varovat:
Neposílejte na tuto e-mailovou adresu důvěrné informace, jako jsou smlouvy nebo daňová přiznání.Posledním kouskem bezpečnostních novinek je ikona s červeným otazníkem na místě fotky odesilatele. Ta se objeví, pokud se Gmailu nepodaří autentizovat zprávu a jejího odesilatele.