Всички сайтове под домейни от първо ниво на Google автоматично ще поддържат HTTP Strict Transport Security.
Google смята, че активирането на HSTS на ниво TLD е много по-ефективно от настоящата система.
Google налага HTTPS за всички сайтове под собствените си домейни от първо ниво (TLD), като .google, .how и .soy.
Освен че е фирма за търсене и реклама, Google е и регистратор на TLD и има 45 от имената, които даден сайт може да използва вместо конвенционалните TLD, като .org или .com.
На тези 45 TLD, активните в момента включват .google, .how и .soy, със стартиране на .app скоро. С изключение на .google, регистратора на домейни на Google Google Domains и неговите партньори продайте тези за всеки, който иска да създаде уебсайт. Други, за които твърди, включват .ads, .boo, .here, .meme, .ing, .mov и .rsvp.
Вижте също
Google затяга примката на HTTP: Chrome ще постави „Не е защитено“ на страници с полета за търсене
През октомври Google ще започне втора фаза от своя план за обозначаване на всички HTTP страници като незащитени.
Прочетете сегаКато част от усилията си за по-широко приемане на HTTPS, Google сега започва да активира HTTP Strict Transport Security (HSTS) за „голям брой“ от своите TLD.
Политиката HSTS гарантира, че уеб браузърите използват само HTTPS криптирана връзка към сайтове, които поддържат HTTPS. Всички основни браузъри преминават към, например, https://gmail.com дори ако потребителят въведе http адреса. HSTS има за цел да предотврати атаки за понижаване, като пудел, които отслабват или премахват криптирането.
Списъкът за предварително зареждане на HTTPS HSTS с имена на хостове гарантира, че браузърите автоматично налагат HTTPS връзки към тях. Списъкът се използва в Chrome, Firefox, Safari, Internet Explorer, Edge и Opera.
Бен МакИлуейн, софтуерен инженер за Google Registry, обяснява че .google стана първият TLD, който се присъедини към списъка за предварително зареждане на HSTS. Google стартира .google TLD през 2014 г и сега го използва за своя Блогът за ключови думи, Регистър на Google и Google дизайн.
Първите не-.google TLD, които ще се присъединят към него, ще бъдат .foo и .dev, които Google планира да направи достъпни за регистрация скоро.
Според McIlwain активирането на HSTS на ниво TLD е много по-ефективно от текущата система поради забавяне между текущия списък за предварително зареждане и актуализациите на браузъра, пристигащи до потребителите.
„Използването на HSTS на ниво TLD позволява такива пространства от имена да бъдат защитени по подразбиране“, пише McIlwain.
Регистрантите все още трябва да конфигурират SSL сертификат, за да активират HTTPS на сайта си. Безплатни сертификати могат да бъдат получени от Let's Encrypt. Но в противен случай собствениците на сайтове не трябва индивидуално да добавят своя сайт към списъка за предварително зареждане на HSTS, което McIlwain казва, че може да отнеме месеци поради времето, необходимо на браузърите с най-новия списък, за да достигнат най-много потребители.
„Използването на вече защитен TLD осигурява незабавна защита, а не евентуална защита. Добавянето на цял TLD към списъка за предварително зареждане на HSTS също е по-ефективно, тъй като защитава всички домейни под този TLD, без да се налага да включвате всички тези домейни поотделно.
Предишно и свързано покритие
Lenovo глоби $3,5 милиона за предварително инсталиран рекламен софтуер, който отвлича HTTPS връзки
В допълнение към плащането на 3,5 милиона долара на 32 щата в САЩ, китайският производител на хардуер също ще бъде подложен на одитирани проверки за сигурност на своя софтуер през следващите две десетилетия.
Как да използвате Let's Encrypt, за да защитите уебсайтовете си
Let's Encrypt е лесен за използване и безплатен -- нищо чудно, че е най-популярният сертифициращ орган за защита на уебсайтове. Ето как можете да го използвате.
Прочетете повече за HTTPS и уеб сигурността
- Посланието на Google и Mozilla към AV и фирмите за сигурност: Спрете да изхвърляте HTTPS
- Cloudflare откри изтичащи клиентски HTTPS сесии в продължение на месеци
- Chrome скоро ще маркира някои HTTP страници като „несигурни“