НАЗАД К НОВОСТЯМ
ИсследованияНизкий

Chrome перейдет на HTTPS по умолчанию в 2026 году: что нужно знать ИБ-командам

3 мин чтенияИсточник: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

Google объявила о переходе Chrome на принудительное использование HTTPS с октября 2026 года. Узнайте о сроках, рисках HTTP и рекомендациях для безопасности.

Chrome будет принудительно использовать HTTPS по умолчанию с октября 2026 года

Компания Google объявила, что в браузере Chrome будет включена настройка «Всегда использовать безопасные соединения» по умолчанию, начиная с Chrome 154 в октябре 2026 года. Это изменение потребует от пользователей явного разрешения на доступ к любым публичным сайтам без HTTPS, что станет значительным сдвигом в политике безопасности браузера.

Основные детали

  • Сроки: Настройка будет внедрена для пользователей Enhanced Safe Browsing в Chrome 147 (апрель 2026 года), а затем станет стандартной для всех пользователей в Chrome 154 (октябрь 2026 года).
  • Область применения: Функция будет распространяться только на публичные сайты, исключая частные/локальные сетевые адреса (например, 192.168.0.1, intranet/).
  • Влияние на пользователей: Chrome будет показывать предупреждение с возможностью обхода для сайтов без HTTPS, при этом частота предупреждений будет ограничена новыми или редко посещаемыми доменами для минимизации неудобств.

Техническое обоснование

Решение Google обусловлено устойчивыми рисками безопасности, связанными с HTTP, включая:

  • Атаки «человек посередине» (MITM): Злоумышленники могут перехватывать навигацию для внедрения вредоносного ПО, эксплуатации уязвимостей или фишинга. Группа анализа угроз Google документировала реальные случаи атак с использованием HTTP.
  • Невидимые редиректы: Многие HTTP-сайты сразу перенаправляют на HTTPS, скрывая от пользователей и предупреждений Chrome («Небезопасно») изначальное небезопасное соединение.
  • Замедленное внедрение HTTPS: Хотя 95–99% переходов на публичные сайты уже используют HTTPS (согласно отчету о прозрачности Google), оставшиеся 5% HTTP-трафика все еще представляют значительные риски. Для частных/локальных сайтов уровень внедрения ниже — до 84% на Linux.

Анализ влияния

Преимущества для безопасности

  • Сокращение поверхности атаки: HTTPS по умолчанию снижает риски MITM для публичных сайтов, которые являются основными целями для атак.
  • Стимулирование миграции на HTTPS: Организации с забытыми HTTP-сайтами (например, использующими редиректы HTTP→HTTPS) будут мотивированы полностью перейти на HTTPS.
  • Улучшения для локальных сетей: Разрешение доступа к локальной сети позволяет HTTPS-сайтам обходить блокировку смешанного контента для одобренных локальных устройств, обеспечивая безопасные конфигурации.

Потенциальные вызовы

  • Сложности для корпоративных/локальных сетей: Частные сайты (например, роутеры, IoT-устройства) могут не иметь HTTPS-сертификатов из-за неуникальных имен (например, 192.168.0.1), хотя они менее рискованны, чем публичные сайты.
  • Усталость пользователей: Хотя предупреждения будут ограничены новыми/редко посещаемыми сайтами, некоторые пользователи могут считать их навязчивыми. Настройка останется отключаемой.

Рекомендации

  1. Для ИБ-команд

    • Аудит использования HTTP: Включите настройку «Всегда использовать безопасные соединения» в Chrome уже сегодня (chrome://settings/security), чтобы выявить сайты, требующие миграции на HTTPS.
    • Приоритизация публичных сайтов: Сосредоточьтесь на доменах с редиректами HTTP→HTTPS или смешанным контентом, так как они с наибольшей вероятностью будут вызывать предупреждения.
    • Использование разрешений для локальных сетей: Применяйте API доступа к локальной сети Chrome для обеспечения безопасного взаимодействия с локальными устройствами через HTTPS.

  2. Для разработчиков и ИТ-администраторов

    • Изучите рекомендации Google: Ознакомьтесь с руководством по внедрению для корпоративных решений.
    • Тестируйте заранее: Разверните Chrome 147 (апрель 2026 года) для проверки совместимости с внутренними инструментами и частными сайтами.

  3. Для владельцев сайтов

    • Устраните редиректы HTTP: Убедитесь, что все публичные домены загружаются напрямую через HTTPS, чтобы избежать предупреждений.
    • Получите сертификаты для частных сайтов: Рассмотрите решения вроде Let’s Encrypt или внутренних центров сертификации (CA) для локальных сетей.

Перспективы

Google планирует дальнейшее снижение барьеров для внедрения HTTPS, особенно для сайтов в локальных сетях. В будущем обновления могут распространить защиту на частные домены, хотя конкретные сроки пока не объявлены.

На данный момент ИБ-командам следует рассматривать это изменение как катализатор для устранения остаточных зависимостей от HTTP и укрепления веб-инфраструктуры против угроз MITM.

Опубликовано командой безопасности Chrome (Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark, David Adrian).

Поделиться

TwitterLinkedIn