26.02.2017 13:27
alizar 34 11400 Источник


Правительства разных стран прикладывают усилия по контролю граждан и мониторингу всего интернета. Единственный способ сохранить свободу — надёжное шифрование всех соединений. Мировое движение за зашифровку всего интернета объявило о достижении важной вехи. Примерно в начале февраля 2017 года доля интернет-трафика, защищённого HTTPS, впервые превысила 50%. Россия лидирует в мире по темпам роста трафика HTTPS.

Таким образом, как говорит Фонд электронных рубежей, мы на полпути к безопасному интернету, защищённому от прослушки, подмены контента, кражи куков и цензуры. Против всех этих вредоносных явлений защищает HTTPS.

В конце января 2017 года о преодолении рубежа в 50% зашифрованного трафика сообщила Mozilla. Чуть позже это подтвердила телеметрия Firefox, которая рассчитывается как скользящее среднее за последние 14 дней. По данным телеметрии, скользящее среднее за две недели преодолело отметку 50% 6 февраля 2017 года. Если 5 февраля значение составляло 49,98875%, то 6 февраля — 50,37423%.


В феврале 2017 года доля зашифрованного трафика в интернете впервые превысила 50%, данные телеметрии Firefox

За последний день, когда доступна статистика Firefox, 24 февраля 2016 года, скользящее среднее составляет 50,88921%.

Можно было бы предположить, что пользователи Firefox чуть более продвинутые, чем обычные пользователи, они чаще заходят на хорошие сайты с поддержкой HTTPS, но статистика самого популярного в мире браузера Chrome подтверждает эти выводы: сейчас более половины веб-трафика защищено HTTPS под всеми операционными системами, кроме Android.

Последняя статистика за 18 февраля 2017 года:

  • Chrome OS: 71%
  • Mac OS: 66%
  • Linux: 57%
  • Windows: 56%
  • Android: 49%

Что характерно, доля защищённого трафика в некоторых странах растёт быстрее, чем в других. Например, в России растёт гораздо быстрее, чем в Японии. За последние два года эта доля HTTPS под Windows в Японии выросла с 23% до 37%, в России — с 28% до 55%, в США — с 44% до 65%.

За последние годы под давлением общественности много крупных сайтов перешли на использование HTTPS по умолчанию. Это сделали Facebook, Twitter и Википедия. Затем и компания Google надавила на всех остальных, начав учитывать HTTPS в качестве фактора ранжирования в результатах поиска в августе 2014 года. В браузере Chrome для сайтов, не защищённых HTTPS, появилось специальное сообщение безопасности с января 2017 года. Возможно, этим, в том числе, объясняется некоторый всплеск популярности HTTPS в январе-феврале 2017 года, заметный на графиках. Пользователи начинают понимать, что отсутствие криптографической защиты трафика — угроза для их безопасности со стороны правительства и других агентов, которые стремятся к прослушке и перехвату трафика. Чтобы не терять аудиторию, веб-сайты вынуждены устанавливать бесплатные сертификаты и немножко увеличивать нагрузку на свои серверы, шифруя трафик.

К движению за безопасный веб присоединились некоторые общественные организации и СМИ. Например, Фонд свободных рубежей периодически публикует отчёт Encrypt the Web о состоянии дел с шифрованием в Сети. Появились такие же отчёты о шифровании на сайтах средств массовой информации Secure the News и шифровании на правительственных сайтах Pulse. Например, 74% американских государственных сайтов уже перешли на HTTPS.

Важную роль в практической реализации HTTPS сыграли бесплатный центр сертификации Let’s Encrypt, а также инструмент Certbot, позволяющий получить бесплатный сертификат Let’s Encrypt и автоматически сконфигурировать его для своего сервера. Популярность Let’s Encrypt стремительно растёт до настоящего времени. В октябре 2016 года о стал крупнейшим центром сертификации в мире с 12 млн сертификатов, а сейчас количество сертификатов превысило 28 млн.



Значительная часть этого роста достигнута благодаря переходу на Let’s Encrypt многих крупных хостингов и платформ для размещения сайтов, таких как WordPress.com, Squarespace, Digital Ocean, Dreamhost.com, OVH.com, SiteGround.com и десятков других.

Напомним, что по пакету законов Яровой-Озерова российское государство хочет записывать и хранить весь трафик пользователей в течение длительного времени. Что ж, теперь больше половины этого трафика будет в зашифрованном виде.
Поделиться с друзьями
-->

Комментарии (34)


  1. blik13
    26.02.2017 18:18
    #9911772
    +1

    Что есть «безопасный интернет»?


    1. A-Stahl
      26.02.2017 18:36
      #9911792
      +2

      >есть
      Его ещё нет.
      Это когда никто не контролирует что ты читаешь когда и где, никто не подсовывает тебе то, что ты не хочешь читать вместо того, что ты хочешь и никто не забирает у тебя возможность чтения потому что «низя».


      1. Garbus
        26.02.2017 22:20
        #9912104
        -1

        Вот только отчего многие хотят жить не в Мексике или где то в Африке, а в США или какой нибуть Европейской стране? А там ведь суровая полиция, которая или стреляет на любой чих (США), или приобретение оружия не такое свободное. Не думаю, что общение и поведение людей в Сети будет отличаться от реальной жизни, где все хотят порядка и стабильности. Путь даже ценой некоторых «свобод», не слишком то и нужных большинству в повседневной жизни.


        1. A-Stahl
          26.02.2017 22:28
          #9912122

          >Не думаю, что общение и поведение людей в Сети будет отличаться от реальной жизни, где все хотят порядка и стабильности. Путь даже ценой некоторых «свобод»,
          Почему некоторые хотят «порядка и стабильности. Путь даже ценой некоторых «свобод»» в «реальной жизни»? Потому что в «реальной жизни» не то что руки/ноги, но даже зубы не отрастают.
          Интернет же неспособен навредить. А раз он безвреден, то даже у самого жалкого раболепного лизоблюда нет причин отказываться от «свобод» в пользу «порядка и стабильности». Порядок и стабильность не имеют самостоятельной ценности. Порядок и стабильность это лишь способ сохранения своего здоровья. Нет угрозы здоровью — нет нужды в порядке.
          Вот стал бы кто-то возражать против мировых войн если бы в результате никто бы не погибал, ничего бы не разрушалось? Конечно нет. Это было бы весело! Вместо футбола форсировали бы какую-то там Лимпопо.


          1. blik13
            27.02.2017 00:11
            #9912258
            +1

            Молоток тоже неспособен навредить, пока его не возьмёт в руки человек.


          1. Welran
            27.02.2017 04:21
            #9912396
            +3

            Интернет не способен навредить :)? Вы серьезно?


          1. Garbus
            27.02.2017 04:31
            #9912400

            Заход в интернет нынче может запросто проивести к потере вполне себе «материальных» денег.
            А уж если кому-то нравится возможность получить в морду (без «последствий для здоровья»), то тут я ничего поделать не могу, вкусы у всех разные. Но зачем распространять такое на не желающих экстремальных развлечений?


          1. khajiit
            27.02.2017 11:32
            #9913000
            +1

            Мошенничество, клевета и некоторые препараты тоже не наносят вреда здоровью. Тем не менее, им посвящена приличная часть УК. Только не надо притягивать косвенный или опосредованный вред — сама жизнедеятельность есть их источник по определению, так как ее суть в его, вреда, компенсации


            Видите ли, в этих наших интернетах порядок был с самого начала, задолго как сомнительные люди с нулевой квалификацией влезли в него грязными лапами, пытаясь силком экспортировать в головы совершенно посторонних им людей собственных тараканов. Да, где-то этого порядка почти не было, но где-то он был образцовым. Ну так и IRL президентский корпус не ловит уличных воришек, а талибы и ваххабиты режут головы чуть ли не в прямом эфире. Паниковать предложите али запретить?


            Понимаете, общатся с мудаками, троллями, фанатами, сектантами, впарителями, свидетелями-заговорщиками одинаково неприятно как IRL так и онлайн. Хотя вреда здоровью нет. Разделение обязанностей и ролей, опять же. Поэтому любое сообщество всегда самоорганизуется, всегда идет от «свобод» в пользу «порядка и стабильности». Как и в реале. Обратный процесс возможен только лишь если он кому-то выгоден и хватает ресурсов его продавить.


            Приятного аппетита.


      1. Welran
        27.02.2017 04:28
        #9912398
        +2

        Не надо путать безопасный и свободный. Такая трактовка слова безопасный вводит в заблуждение. Трояны, вирусы и тп. так же легко передаются и по https. Ну и «низя» по https не обходится.


  1. funca
    26.02.2017 18:37
    #9911794
    +1

    Разве корпорации не сотрудничают с правительствами, предоставляя данные и аналитику? Вероятно, рост доли шифрования повлияет на то, в каком объеме власти продолжат вкладываться в собственную инфраструктуру мониторинга, а в каком закупать аналитику у корпораций. Возможно это отразится на размере налогов, которые платят свободные граждане, для оплаты всего этого. Что изменится в плане свобод и безопасности пока не очень понятно, т.к. объем телеметрии в интернете постоянно растет.

    Единственный способ сохранить свободу — надёжное шифрование всех соединений. … Чуть позже это подтвердила телеметрия Firefox
    Корпорации добра считают данные пользователей своей собственностью. Поэтому уже давно активно форсят https, заботясь о конфиденциальности своих данных.


  1. EnderWiggin
    26.02.2017 21:36
    #9912038

    Вопрос айтишникам: каким должен быть идеальный браузер для безопасного интернета? Можно поставить дополнения для блокировки рекламы, скриптов, использовать шифрование где можно и нельзя, но поведенческий анализ, отпечаток браузера все равно позволяют отследить уникального пользователя. Есть ли выход, кроме как становиться Ричардом Столлманом?


    1. TheOleg
      26.02.2017 22:12
      #9912092
      +1

      А что вы именно хотите с ним делать? Сидеть на небезопасных сайтах под своим небезопасным аккаунтом, но из безопасного браузера?


      1. 9uvwyuwo6pqt
        27.02.2017 09:32
        #9912626

        *в небезопасном интернете* BADABUM


    1. 9uvwyuwo6pqt
      27.02.2017 09:27
      #9912608

      Против отпечатка можно использовать IceCat / применять патчи от Tor Browser в свой Firefox. :)
      Тема поднимается в интернете, я надеюсь что когда нибудь эта проблема будет решаться повсеместно. https://www.gnu.org/software/gnuzilla/


  1. grey_rat
    26.02.2017 21:48
    #9912056

    Такой вот вопрос. К примеру, в будущем, почти весь трафик и все сайты перейдут на https. Но вдруг в мире или в определённых государствах наступит диктатура. И сделают так, что загружаться будут сайты только с регистрацией в «государственных» центрах сертификации. Не проще ли так контролировать интернет?


    1. GamePad64
      26.02.2017 22:20
      #9912106

      Равносильно белым спискам. Против диктатуры и белых списков технические решения обхода бессильны.


    1. dartraiden
      26.02.2017 22:22
      #9912108

      Так, вроде, в Кахахстане примерно оно и есть. На уровне единственного в стране провайдера осуществляется подмена сертификата. Сайты, в отношении которых браузеры не позволяют осуществлять подмену, не открываются.


      1. grey_rat
        26.02.2017 22:28
        #9912120

        То есть, провайдер в целях блокировки сайта, браузеру подсовывает не тот сертификат и браузер в свою очередь «отфутболивает» загрузку?


        1. dartraiden
          26.02.2017 22:37
          #9912134

          В целях расшифровки трафика HTTPS, FTPS, IMAP и SMTP с TLS.

          https://habrahabr.ru/post/303736
          https://habrahabr.ru/post/272207

          Провайдер подсовывает «государственный» сертификат, предлагая пользователю добавить его в доверенные и тем самым открыть свой трафик товарищу майору. Загвоздка в том, что для некоторых ресурсов в популярных браузерах реализован certificate pinning, который запрещает браузеру работать с сайтом, используя «левый» сертификат, независимо от желания пользователя.


      1. UND34D
        27.02.2017 12:31
        #9913246

        ssh в Казахстане тоже не работает?


      1. shifttstas
        28.02.2017 15:14
        #9916498

        Так опровергали же, они попытались, но не смогли


        1. Mad__Max
          02.03.2017 20:57
          #9922000
          +1

          Так в каком смысле «опровергли»?

          Не смогли форсировать принудительную установив его всем пользователям в стране — это да (пока).

          Но очень активно его всеми способами впихивают: провайдеры рекомендуют установить корневые сертификаты, разные государственные сайты и сервисы требуют его установки в обязательном порядке отказываясь работать без установленного сертификата.

          Тот кто его все-таки ставит (многие — государство и провайдер же плохого не посоветуют?), чтобы пользоваться ими — у того начинают слушать весь трафик через MitM.

          Сертификат тут (на всякий — ставить НЕ надо): https://telecom.kz/certificate


          1. shifttstas
            03.03.2017 00:01
            #9922240

            Хм, не знал, может статью напишите об этом? Я думаю я не один, кто не вкурсе как там всё происходит


            1. Mad__Max
              03.03.2017 19:35
              #9924084
              +1

              Лучше если кто-нибудь из местных напишет. Я в России живу и о тамошних «погремушках» знаю только из того что в интернете прочитал — т.е. из 2х рук.


  1. wikipro
    26.02.2017 23:11
    #9912170
    +1

    Если центр сертификации страны выдаёт мне SSL сертификат — значит ли это что этот центр распологая моим сертификатом, может расшифровать мой HTTPS трафик (ну если конечно он его перехватит)?
    Есть ли россйские SSL сертификаты (т.е. выпущенные в РФ, а не перепродающие SSL сертификаты GoDaddy и т.п.),


    1. evocatus
      26.02.2017 23:36
      #9912212
      -2

      Да. Протокол Диффи-Хеллмана (https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange) пуленепробиваем при двух условиях:
      1) Если хэш-функция стойка (это изменится с появлением квантовых компьютеров определённой мощности — можно будет подбирать простые множители чисел (на чём основаны многие хэш-функции) за гораздо меньшее время, чем экспоненциальное — сейчас подобрать ключ шифрования невозможно — на это уйдут тысячелетия на каждый ключ )
      2) Если мы всегда соединяемся с доверенным сервером. Это уязвимо уже сейчас — благодаря атакам MITM. Именно поэтому самоподписанного SSL-сертификата недостаточно и поэтому существуют центры сертификации. А некоторые государства в целях цензуры заставляют сервисы использовать их корневой сертификат, позволяющий государству в любой момент осуществить MITM атаку (https://geektimes.ru/post/271096/). Потому что в таком случае государство подтверждает подлинность сервера, а не какой-нибудь Thawte или COMODO.


    1. galaxy
      27.02.2017 06:49
      #9912464

      Если центр сертификации страны выдаёт мне SSL сертификат — значит ли это что этот центр распологая моим сертификатом, может расшифровать мой HTTPS трафик (ну если конечно он его перехватит)?

      Нет. Сертификат вообще штука несекретная, каждый пользователь вашего сайта его скачивает себе так или иначе.
      Важно, какие корневые ЦС прописаны в браузере у пользователей, и как себя ведут все ЦС в цепочке доверия. Т.е. если вы доверяете некому государственному ЦС, а он выдал сертификат с правом подписи, скажем, вашему провайдеру (или прочему товарищу майору, способному устроить лично вам MitM), то уже абсолютно все равно, какой там сертификат у сайта — вы станете доверять «человеку посередине».
      Расшифровать пассивно перехваченный трафик (т.е. без подмены сертификата и МитМ) пратически невозможно (с учетом повсеместного использования эфемерных алгоритмов).


    1. KorDen32
      27.02.2017 08:19
      #9912504
      +1

      Нет, не может.

      Вы локально генерируете пару приватный-публичный ключ, на ее основе создаете файл сертификата с данными вашего сайта. Далее вы передаете сертификат в ЦС, он его подписывает своим ключом, предварительно удостоверившись что данные в вашем сертификате верны. Но использовать этот сертфикат без вашего приватного ключа, невозможно, а он не покидал вашего компьютера/сервера.

      Раньше алгоритмы генерировали сессионные ключи на основе приватного ключа сервера, поэтому при полной записи трафика и компроментации вашего приватного ключа возможно было расшифровать ранние сесси. Теперь используется согласование по алгоритму Диффи-Хеллмана (DH) или подобные (DH на эллиптических кривых), так что сессионный ключ каждый раз независим от ключа.

      Поэтому сейчас перехватить трафик можно только активным вмешательством — подменой сертификата (если не реализован certificate pinning — от любого доверенного ЦС из системы клиента).


  1. evocatus
    26.02.2017 23:19
    #9912184
    -2

    Вы забыли добавить, что по пакету законов Яровой-Озерова-Пушкова-Герасимовой нужно передавать все ключи шифрования в ФСБ.


    1. KonstantinSpb
      27.02.2017 02:27
      #9912346

      Даже сессионые (временные)? :)


      1. UJIb9I4AnJIbIrUH
        27.02.2017 05:58
        #9912434

        Даже ключ от квартиры, где деньги лежат


    1. 9uvwyuwo6pqt
      27.02.2017 06:01
      #9912436

      >>Вы забыли добавить, что по пакету законов Яровой-Озерова-Пушкова-Герасимовой нужно передавать все ключи шифрования в ФСБ.
      >В Федеральной службе безопасности уточнили, что обязательная сертификация средств кодирования (шифрования) требуется только при передаче сведений, составляющих государственную тайну, поэтому сертификация систем мгновенного обмена сообщениями (месенджеров), таких как Telegram, WhatsApp и прочих при передаче сведений не составляющих гостайну, не требуется. Википедия.


      1. a5b
        28.02.2017 03:23
        #9915102

        Сертификация средств действительно требуется только при передаче средств: https://rg.ru/2016/07/08/antiterror-dok.html 6 июля 2016 г. N 374-ФЗ — Статья 11 — Внести в КоАП… 3) в статье 13.6" ("Использование средств связи или несертифицированных средств кодирования (шифрования)"):


        1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация ...
        2. Использование в сетях связи средств связи без декларации о соответствии, если законодательством не предусмотрена их обязательная сертификация,

        Требование выдачи ключей не связано ни с шифрованием, ни с сертификацией и вводилось в закон 27.07.2006 N 149-ФЗ ("Об информации..") и другую статью КоАП — "6) в статье 13.31:" ("Неисполнение обязанностей организатором распространения информации в сети "Интернет"")


        б) дополнить частью 2.1 следующего содержания:
        "2.1. Неисполнение организатором распространения информации в сети "Интернет" обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений,

        Организаторы распространения информации обязаны по 27.07.2006 N 149-ФЗ ("Об информации, информационных технологиях и о защите информации" ст. 10.1. "Обязанности организатора распространения информации в сети "Интернет"" (в версии с правками по "пакету") и КоАП 13.31:


        • уведомить орган о начале своей деятельности,
        • (ч.3 п.1) хранить информацию о фактах приема/передачи… голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение одного года (с 1 июля 2018 года)
        • (ч.3 п.2) хранить текстовые сообщения пользователей .., голосовую информацию, изображения, звуки, видео-, иные электронные сообщения… до шести месяцев
        • предоставлять хранимую информацию уполномоченным… органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности .., в случаях, установленных федеральными законами.
        • обеспечивать реализацию… требований к оборудованию и программно-техническим средствам,… для проведения этими органами… мероприятий, не допуская раскрытия организационных и тактических приемов проведения данных мероприятий.
        • (4.1.) при использовании (или при предоставлении возможности)… дополнительного кодирования электронных сообщений… представлять в орган… информацию, необходимую для декодирования… электронных сообщений.
        • Обязанности статьи 10.1 не распространяются на операторов государственных и муниципальных информационных систем, а также операторов связи (с лицензией оператора), и на граждан, организующих распространение информации для "личных, семейных и домашних нужд", определенных Правительством Российской Федерации.
        • Состав информации, подлежащей хранению в соответствии с частью 3 и правила хранения… определяются Правительством Российской Федерации.

        ФСБ приказом 19.07.2016 № 432 «Об утверждении Порядка представления… информации, необходимой для декодирования" (https://geektimes.ru/post/279434/, http://publication.pravo.gov.ru/Document/View/0001201608120037?index=2&rangeSize=1) установило порядок: подразделение ФСБ запрашивает (заказным письмом) у организатора информацию для декодирования (подписывает руководитель подразделения или его зам), а организатор распространения передает информацию для декодирования в указанном формате и составе на указанный в запросе адрес обычной или электронной почты. Не передал — получил штраф, за каждый отказ для юрлиц — от восьмисот тысяч до одного миллиона рублей.


        TLDR: Все организаторы распространения информации по реестру обязаны хранить все сообщения пользователей и предоставлять органам как сами сообщения, так и все необходимое для прочтения этих сообщений.


  1. kay
    27.02.2017 21:55
    #9914702

    Вот когда rutracker.org и thepiratebay перейдут полностью на i2p, тогда и наступит переходный момент. Сейчас у них в i2p только зеркала, а анонс пиров происходит по IP.