Stále více webů používá zabezpečený protokol HTTPS. Pro Google to ale není dost a rozhodl se spoléhat na technologii HSTS.
Zašifrované připojení HTTPS najdete u webových stránek stále častěji. Napomáhají tomu iniciativy jako Let’s Encrypt (psali jsme o ní v minulém vydání), které doporučují chránit uživatele webových služeb právě tímto způsobem. A přispívá k tomu také společnost Google, která zašifrované stránky upřednostňuje při vyhledávání. To se také přeneslo do populárního prohlížeče Chrome. Od začátku roku totiž tento prohlížeč varuje před nezabezpečenými weby. Ale je tu ještě další krok vyplývající z dlouhodobé strategie firmy - chce totiž využít standardní provozní proceduru HSTS (HTTP Strict Transport Security).
Mechanismus umožňuje, aby webový server vynutil v prohlížeči komunikaci pouze pomocí šifrovaného HTTPS připojení a vyloučil přenos dat nezabezpečeným HTTP protokolem. Zabezpečené domény se nachází v seznamu předběžného načtení. Tento seznam dnes používají všechny hlavní prohlížeče včetně Chromu, Firefoxu, Edge a Safari a od webů ze seznamu prohlížeč nepřijme nezabezpečené připojení. Pokud tedy například uživatel zadá do prohlížeče gmail.com, prohlížeč automaticky změní adresu na https://gmail.com. To zajistí, že případní útočníci nebudou schopni vniknout do komunikačního toku ještě před tím, než se aktivuje zabezpečené šifrované připojení. Plánem společnosti Google je přenést celou doménu nejvyšší úrovně (TLD) do seznamu HSTS sítí. V současné době už se to týká domény .google a měly by následovat .foo a .dev.
Pro vývojáře a poskytovatele služeb to nabízí výhodu v tom, že mohou automaticky získat místo v seznamu HSTS sítí, pokud si vyberou TLD doménu a budou používat odpovídající SSL certifikát. V důsledku toho by pak každá z těchto entit byla schopna automaticky použít zabezpečené připojení, aniž by bylo nutné používat komplikované konfigurační postupy. Druhá možnost je i nadále k dispozici zdarma - společnost Google pro tento účel nabízí web hstspreload.org. Před aktualizací těchto údajů ale může uplynout několik měsíců.
Foto popis| Prohlížeč Google Chrome byl jedním z prvních hlavních webových nástrojů pro podporu zabezpečeného připojení založeného na HSTS.