Проект Let’s Encrypt, направленный на подключение бесплатного HTTPS-шифрования к как можно большему количеству сайтов, вышел из стадии бета-тестирования. Инициатива была запущена шесть месяцев назад, предназначена она была для небольших веб-сайтов, которые не могут самостоятельно получить доступ к сертификатам HTTPS.
Автором проекта выступила группа Internet Security Research Group (ISRG), среди спонсоров значатся Mozilla, Cisco, Akamai, IdenTrust, Electronic Frontier Foundation и Google. За полгода проект Let’s Encrypt выпустил более 1,7 миллиона сертификатов, а также позволил более чем 2,4 миллиона доменных имён перейти на HTTPS-шифрование. Недавно, напомним, все WordPress-сайты были переведены на HTTPS — абсолютно бесплатно.
Несмотря на то, что цифры эти выглядят впечатляюще, они всё равно — лишь иголка в стоге сена. По состоянию на декабрь 2015 года лишь 40 % просмотренных страниц в Сети были зашифрованы, отметила Mozilla. Компания также добавила, что всего лишь 65 % онлайн-транзакций были защищены протоколом HTTPS.
При использовании незащищённых сайтов может страдать безопасность пользователей. Более того, Google заявила, что она собирается помечать в браузере Chrome такие сайты, тем самым как бы отговаривая пользователей заходить на них.
Впрочем, как выяснила компания Trend Micro, сам сайт Let’s Encrypt уже использовался злоумышленниками для перенаправления пользователей на субдомен с опасным трояном. «Любая технология, предназначенная для благих целей, может быть использована киберпреступниками, и цифровые сертификаты от Let’s Encrypt не являются исключением», — отметила компания. «Пользователи также должны знать, что «защищённый» сайт — это необязательно безопасный сайт, и мы также отмечаем, что лучшая защита против эксплойтов по-прежнему заключается в поддержании актуальности программного обеспечения, что минимизирует число уязвимостей, которые могут быть использованы», — добавила она.
Источник:
