Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом.
Google Security Blog опубликовал новость об очередном этапе форсирования перехода на https. Давайте вспомним о двух предыдущих этапах. О них также можно прочитать на официальном сайте проекта Сhromium.
В январе 2017 года предупреждение появилось на всех страницах с вводом пароля или номера карточки. Об этом был посты на Хабре и Geektimes.
С октября 2017 года предупрждение возникает при вводе данных уже на любых полях страницы, а также для всех страниц открытых в режиме инкогнито. Пост на Geektimes.
А с июля 2018 года абсолютно все http страницы будут отмечены как "не защищенные". Можно уже сейчас увидеть как будет выглядеть ваш http сайт для посетителей — достаточно его открыть в режиме инкогнито (Ctrl+Shift+N).
Пример — http://example.com/
Конечным этапом (пока не объявлено когда) будет вот такой красный значок.
Одним из основных аргументов Google в защиту этой политики является проект Let's Encrypt. Let's Encrypt (кстати, один из проектов Linux Foundation) бесплатно выдает TLS сертификаты для использования в продакшне. Получить его можно как вручную на https://www.sslforfree.com/, так и автоматизировать процесс верификации и перевыпуска благодаря открытыму протоколу ACME. Среди множества его клиентских реализаций под разные веб-серверы и окружения, официально рекомендуемым клиентом является CertBot (который развивает Electronic Frontier Foundation (EFF)). Из хороших новостей — 27 февраля 2018 года они начнут выдавать wildcard сертификаты, чего ждали очень многие.
Добавлю также, что проект Сhromium также предлагает увидеть как браузер реагируют на те или иные проблемы с https на специальном сайте https://badssl.com.
