Pozor, tady šifrujeme!
Ikonka zámečku je s prohlížeči spojena prakticky od začátku, objevila se už v legendárním prohlížeči Netscape v průběhu 90. let. Jejím smyslem je ukázat uživateli, že používá zabezpečené šifrované spojení mezi svým počítačem a cílovým serverem. Data jdou zabezpečeným kanálem a nemohou být po cestě odposlouchávána nebo pozměněna.
Na počátku bylo ale takové šifrování velmi vzácné a vyskytovalo se opravdu ojediněle. Dokonce ani webový přístup k e-mailové schránce nebylo vždy zvykem šifrovat a pošta se k uživateli přenášela otevřeným kanálem. Jednu dobu Internet Explorer dokonce zobrazoval uživatelům dialog, kterým upozorňoval na zapnuté šifrování. Tak výjimečná to byla událost v uživatelově životě.
Bezpečnostní varování! Všechno je v pořádku.
Ještě před deseti lety bylo šifrování na webu relativně okrajovou záležitostí. Zámeček jste potkali v bankovnictví, poště a možná na nějakém velkém osvíceném e-shopu. V roce 2013 mělo HTTPS pouze 14 % [PDF] z milionu světově nejnavštěvovanějších stránek.
HTTPS do každé domácnosti
Okolo roku 2015 se rozjelo několik různých iniciativ, které začaly prosazovat všeobecné šifrování na webu. Prohlížeče začaly viditelněji rozlišovat šifrované a nešifrované spojení, vyhledávače zase přidávat body webům nabízejícím HTTPS. My jsme v té době vydali článek HTTPS by mělo být všude, kde jsme vyjmenovali důvody, proč by mělo být šifrování normou.
V té době se objevila také společná iniciativa Let's Encrypt, která dala vzniknout nové certifikační autoritě. Ta začala nabízet certifikáty zdarma a automatizovaně, což opět otevřelo dveře k šíření HTTPS a postupně se z něj stal standard.
Nástup pak už byl velmi rychlý, podle statistik Google bylo v roce 2014 načteno asi 50 % stránek pomocí HTTPS, zatímco o rok později už to byly dvě třetiny. V roce 2016 toto číslo překročilo 80 % a od roku 2018 jsme zhruba na 95 % stránek načítaných pomocí HTTPS. Můžeme tedy říct, že HTTPS je opravdu všude a trvalo nám to jen pár let.
Komunikace s uživateli
Těmto překotným změnám se postupně přizpůsobovaly také prohlížeče. Nejprve začaly jemně upozorňovat na nešifrovaný web, postupně informace o šifrování upozaďují a inklinují k tomu, že přestanou na šifrování upozorňovat. Děje se to pomalu a pozvolna, v roce 2019 například zmizela výrazná informace o certifikátech typu EV a později také text „Zabezpečeno“ vedle zámečku, který se z výrazné zelené přebarvil na šedou.
Problém zámečku je dlouhodobě v tom, že mu uživatelé nerozumějí. Studie společnosti Google ukázala, že jen zhruba každý desátý uživatel skutečně ví, co zámeček indikuje a jak k němu přistupovat. Přes všechnu snahu o osvětu se nám nepodařilo uživatelům dostatečně celou věc vysvětlit.
Jen málokdo spojuje správně ikonku se zabezpečením komunikace, naopak v mnoha lidech chybně zvyšuje pocit důvěryhodnosti v provozovatele webu. Zámeček ale nikdy nezajišťoval dobré úmysly toho, kdo za webem stojí. Naopak dnes všechny podvodné weby HTTPS používají, takže to není správný indikátor. Díky Certificate Transparency pak takové weby snadněji odhalíme, ale to je jiný příběh.
Zámeček v adresním řádku končí
Ikonka zámečku dnes slouží ke dvěma účelům: jednak jako zmíněný indikátor šifrování, ale také jako aktivní prvek nabízející přístup k bezpečnostním volbám vztahovaným k danému webu. Google už v roce 2021 provedl experiment, ve kterém uživatelům zaměnil zámeček za neutrální ikonu pro otevření menu.
Experiment s neutrální ikonou místo zámečku
Ukázalo se, že to uživatele vůbec nezmátlo a naopak začali bezpečnostní nabídku používat více, protože se o ní díky nové ikoně dozvěděli. Nyní podle vývojářů prohlížeče Chrome nastal čas zámeček opustit a nahradit ho neutrální ikonkou.
Ta už je zvolená a představuje symbol pro nastavení. Jde o dva tahové potenciometry, které najdeme na mixážních pultech a říká se jim šavle. Významově se takový symbol posouvá od důvěryhodnosti k neutrální konfigurovatelnosti. Pro uživatele jde o viditelně klikatelný prvek, který mají spojený s možností něco nastavit.
Nová podoba ikony v adresním řádku
Nahrazení ikony zámku neutrálním indikátorem zabraňuje mylnému chápání, že ikona zámku je spojena s důvěryhodností stránky. Zároveň zdůrazňuje, že zabezpečení šifrováním je dnes už výchozím stavem. Výzkumy také ukázaly, že mnoho uživatelů nikdy nepochopilo, že kliknutím na ikonu zámku se zobrazují důležité informace a ovládací prvky. Myslíme si, že nová ikona pomáhá zpřístupnit ovládací prvky oprávnění a další informace o zabezpečení a zároveň předcházet nedorozuměním, která ikonu zámku provázejí,
vysvětlují vývojáři.
Změna přijde v září
K uživatelům změna doputuje v září letošního roku s Chrome verze 117. Pokud používáte vývojovou verzi Canary, můžete už teď ikonku přepnout v nastavení v chrome://flags#chrome-refresh-2023, ale jde zatím o rozpracovanou věc, která může nakonec vypadat jinak. Canary navíc není k dispozici pro Linux.
Chování adresního řádku by se ale podstatně měnit nemělo, pod ikonkou bude stále dostupné menu s bezpečnostními informacemi a nastavením oprávnění. Stejně tak bude prohlížeč i nadále upozorňovat na weby nepodporující šifrování.
Nová podoba adresního řádku s menu
V Androidu dojde přibližně ve stejné době k obdobné změně, v iOS není ikonka zámečku klikatelná, takže zmizí bez náhrady. Také na mobilních platformách se bude i nadále objevovat informace o nezabezpečeném spojení.
Po téměř deseti letech tak bude završen velký plán, kdy může být HTTPS označeno za běžnou věc, na kterou není potřeba uživatele nijak upozorňovat. Dá se předpokládat, že si takové změny většina uživatelů ani nevšimne.
ČLÁNKY DO MAILU