zharkevich.ru
Забудьте про замочек: что не так с 90% руководств по безопасности в интернете

Забудьте про замочек: что не так с 90% руководств по безопасности в интернете

· 27 мин чтения

Вы наверняка слышали этот совет десятки, если не сотни раз. На уроках информатики в школе, в корпоративных тренингах по кибербезопасности, в статьях про безопасные покупки в интернете — везде одна и та же мантра: «Перед тем как вводить данные банковской карты, обязательно посмотрите на зелёный замочек в адресной строке браузера. Видите замочек — значит, всё в порядке, можно доверять».

Этот совет кажется таким простым и понятным. Замочек — он же символ безопасности, защиты, надёжности. Если он там есть, значит, сайт проверен, ему можно верить. Миллионы людей по всему миру усвоили эту простую истину и много лет пользовались ею как универсальным индикатором: есть замок — безопасно, нет замка — опасно.

Но за последние несколько лет произошло нечто странное. Сначала исчез зелёный цвет адресной строки на сайтах крупных банков и корпораций. Потом замочек из яркого и заметного превратился в серый и невзрачный. А в 2023 году Google и вовсе убрал его из Chrome — самого популярного браузера в мире, которым пользуется больше половины всех интернет-пользователей. В других браузерах замочек формально ещё жив, но его роль уже совсем не та, что в нулевые.

Что же случилось? Неужели интернет стал менее безопасным? Или, может быть, браузеры перестали заботиться о нашей защите? На самом деле всё ровно наоборот. Появление и исчезновение зелёного замочка — это история о том, как хорошая идея, доведённая до абсурда, превратилась в свою противоположность. О том, как символ безопасности стал инструментом мошенников. И о том, почему иногда лучшее, что можно сделать с привычным интерфейсом, — это избавиться от него.

Давайте разберёмся, как мы вообще дошли до такой жизни, почему замочек, который должен был защищать нас, в итоге оказался частью проблемы, и что теперь делать обычным пользователям, которые годами полагались на этот простой визуальный ориентир.

Как мы вообще пришли к замочку

От ключа в статус-баре до иконки у адреса

Чтобы понять, почему замочек исчез, нужно сначала понять, откуда он вообще взялся. А история эта начинается в девяностые годы, когда интернет только-только начал становиться массовым, а идея покупать что-то онлайн казалась многим откровенным безумием.

В те времена компания Netscape, создавшая один из первых популярных браузеров, придумала технологию SSL — Secure Sockets Layer, протокол для шифрования данных между браузером и сервером. Это было настоящим прорывом: теперь номер вашей кредитки не передавался по сети открытым текстом, который мог перехватить любой желающий. Но возникла проблема: как дать пользователю понять, что соединение защищено?

Решение было простым и элегантным. В первых версиях Netscape Navigator внизу окна браузера, в так называемой строке состояния (статус-баре), появлялась маленькая иконка ключа. Если соединение шифровалось, ключ был целым. Если нет — сломанным. А начиная с версии Netscape Navigator 4.0, выпущенной в 1997 году, ключ сменился на более понятный символ — замочек.

Netscape Navigator

«Иконка замка восходит к Netscape Navigator 4.0. В те времена защищённые сессии были редкостью, а обычные HTTP-страницы — нормой», — отмечает The Register.

Internet Explorer, главный конкурент Netscape в те годы, быстро скопировал эту идею. Замочек в статус-баре стал стандартом де-факто. Официальная документация Microsoft того периода прямо советовала пользователям: «Посмотрите на значок замка в строке состояния, чтобы убедиться, что SSL работает».

Важно понимать, что в те времена замочек находился вовсе не там, где мы привыкли его видеть потом. Он был внизу окна, где-то рядом с индикатором загрузки страницы и текстом «Готово» или «Загрузка». Это была техническая деталь для знающих пользователей, а не центральный элемент интерфейса. Адресная строка тогда ещё не считалась «центром доверия» — это была просто строчка с адресом сайта, и всё.

Но дизайн браузеров менялся. В конце нулевых и начале десятых годов произошла настоящая революция в интерфейсах. Браузеры избавились от множества панелей инструментов, кнопок и строк состояния. Дизайн стал минималистичным. Google Chrome, вышедший в 2008 году, показал новый подход: почти весь экран отдавался под содержимое сайта, а элементы управления сжимались до минимума. Строка состояния внизу окна, где жил замочек, исчезла совсем.

И вот тут замочек переехал туда, где мы его знали последние полтора десятилетия — в адресную строку, рядом с URL сайта. Это переселение оказалось судьбоносным. Замочек из технической метки для продвинутых пользователей превратился в центральный символ безопасности, который видел каждый. К середине 2010-х годов картинка стала универсальной: слева в адресной строке — замочек (иногда зелёный, иногда серый), затем адрес сайта. Именно так выглядели Firefox, Chrome, Safari, Opera и все остальные современные браузеры.

Эпоха зелёной строки и EV-сертификатов

Зачем придумали EV

К середине нулевых годов стало понятно, что одного шифрования недостаточно. Да, HTTPS гарантировал, что данные между вами и сайтом передаются в зашифрованном виде. Но он не гарантировал, что на другом конце провода именно тот, за кого себя выдаёт. Получить обычный SSL-сертификат было относительно просто — достаточно было доказать, что ты контролируешь домен. Никто не проверял, кто ты такой на самом деле, честная ли у тебя компания или сарай с вывеской.

Индустрия решила создать новый уровень сертификатов — Extended Validation, или EV. Идея была в том, чтобы перед выдачей такого сертификата удостоверяющий центр проводил серьёзную проверку: кто владелец домена, существует ли юридическое лицо, совпадают ли адреса, правильно ли оформлены документы. Процедура проверки была формализована специальными стандартами CA/Browser Forum — организации, объединяющей разработчиков браузеров и удостоверяющие центры.

А браузеры договорились показывать такие проверенные сайты особым, очень заметным способом. Началась эпоха зелёной строки. Когда вы заходили на сайт с EV-сертификатом, адресная строка целиком окрашивалась в зелёный цвет, а рядом с адресом красовалось название компании — например, «EXAMPLE BANK, INC [US]». Это выглядело внушительно, солидно, надёжно.

Банки и крупные компании сразу взяли эту технологию на вооружение. В презентациях для клиентов и обучающих материалах они демонстрировали зелёную строку как главный признак подлинности: «Видите зелёную полосу с названием нашего банка? Значит, это точно мы, а не мошенники». Казалось, что проблема фишинга решена: мошенник не сможет подделать зелёную строку, потому что ему не выдадут EV-сертификат на чужую компанию.

Почему EV не сработал

Но реальность оказалась куда более сложной и неприятной. Исследования показали, что вся эта красота работает совсем не так, как задумывалось.

Во-первых, пользователи просто не замечали разницы. Научные работы раз за разом фиксировали: большинство людей не видят разницы между обычным замочком и зелёной строкой с названием компании. Они вообще мало смотрят на адресную строку, концентрируясь на содержимом страницы, логотипах и знакомом дизайне.

Во-вторых, даже те, кто замечал зелёную строку, не всегда понимали, что там написано. Юридическое название компании может сильно отличаться от привычного бренда. Вы заходите на сайт любимого интернет-магазина, а в зелёной строке написано что-то вроде «REGIONAL RETAIL OPERATIONS LLC [IE]» — и что вам это говорит? Правильное это название или мошенники зарегистрировали похожую фирму?

Да, именно так. В-третьих, выяснилось, что получить EV-сертификат на подставную компанию не так уж и сложно. Мошенники регистрировали юридические лица с названиями, похожими на известные бренды, проходили все формальные проверки и получали свою зелёную строку. Были случаи, когда фишинговые сайты щеголяли EV-сертификатами, а пользователи им доверяли именно из-за зелёной полосы.

Команда безопасности Chrome провела собственные исследования и пришла к неутешительному выводу. В официальном документе они написали честно и прямо:

«Команда Chrome Security UX пришла к выводу, что EV-UI не защищает пользователей так, как было задумано», — говорится в документации Chromium.

Трой Хант, известный специалист по информационной безопасности, выразился ещё резче в своём блоге:

«Extended Validation не решает ту проблему, на которой играют фишеры», — пишет он.

Получалась парадоксальная ситуация: индустрия вкладывала огромные ресурсы в создание и поддержку EV-сертификатов, браузеры реализовывали сложную логику показа зелёной строки, компании платили в несколько раз больше за EV по сравнению с обычными сертификатами, а реальной пользы для безопасности пользователей это не приносило. Более того, создавалась ложная уверенность: «у нас же зелёная строка, значит, можно не заморачиваться другими мерами безопасности».

HTTPS становится «по умолчанию» — и замок теряет особый статус

Пока индустрия билась над проблемой EV-сертификатов, в вебе происходила тихая революция. То, что в начале нулевых было редкостью и привилегией крупных сайтов, к середине 2010-х начало становиться нормой для всех.

Ключевым моментом стало появление в 2015 году проекта Let’s Encrypt — удостоверяющего центра, который выдавал SSL/TLS-сертификаты совершенно бесплатно и полностью автоматически. Больше не нужно было платить десятки или сотни долларов в год, ждать проверок, вручную устанавливать сертификаты. Процесс свелся к запуску одной команды в терминале, которая сама всё настраивала и даже обновляла сертификат каждые три месяца.

Wired в 2016 году писал об этом почти с изумлением: амбициозная идея зашифровать весь интернет, которая казалась утопией, внезапно сработала. Владельцы небольших сайтов, блогов, форумов — все, кому раньше HTTPS был не по карману или слишком сложен, теперь получили возможность включить шифрование буквально за пять минут.

Параллельно браузеры и поисковики начали активно продавливать переход на HTTPS. Google объявил, что сайты с HTTPS получат преимущество в поисковой выдаче. Chrome начал показывать предупреждения на HTTP-страницах, где есть поля для ввода паролей или данных карт. Постепенно предупреждения становились всё более заметными и категоричными.

К 2017 году Wired уже констатировал: больше половины веб-трафика идёт по HTTPS, и это делает интернет безопаснее для всех. А к началу 2020-х, по данным Let’s Encrypt, более 80% загрузок страниц в Firefox уже происходили по защищённому протоколу. HTTPS из исключения превратился в правило.

И вот тут начались проблемы для нашего зелёного замочка. Когда защищённые соединения были редкостью, выделять их имело смысл. Но когда HTTPS стал нормой, а HTTP — исключением, логика перевернулась. Зачем помечать зелёным 90% сайтов? Не логичнее ли наоборот — кричать о проблеме, когда встречается незащищённый сайт?

Google начал менять философию индикаторов безопасности. Раньше подход был такой: выделяем безопасные сайты зелёным цветом и надписью Secure. Теперь стратегия изменилась: явно и громко помечаем небезопасные HTTP-сайты предупреждением Not secure, а HTTPS-сайты постепенно делаем нейтральными, без акцентов.

В 2018 году Chrome 68 начал показывать «Not secure» на всех HTTP-страницах, а не только на формах ввода данных. Это был сильный сигнал: если у вас до сих пор нет HTTPS — вы отстали от жизни, и мы будем говорить об этом вашим посетителям прямым текстом.

Замочек при этом потихоньку тускнел. Зелёный цвет исчез, осталась просто серая иконка. Надпись Secure тоже убрали — зачем писать очевидное? HTTPS перестал быть поводом для праздника и превратился в базовый стандарт, который просто должен быть. Примерно как ремни безопасности в машине: мы же не вешаем на каждый автомобиль зелёную наклейку «Есть ремни!», правда?

Как умирала зелёная строка EV

Первые шаги: Safari и эксперимент Chrome

К концу 2010-х стало ясно, что дни зелёной строки сочтены. Первой решилась Apple. В одной из версий Safari компания тихо убрала отображение названия организации для EV-сертификатов прямо из адресной строки. Зелёная полоса исчезла, осталась только возможность посмотреть информацию о сертификате через меню. Трой Хант в своём блоге отмечал, что Apple, по сути, признала: EV-индикаторы не работают так, как должны.

Google внимательно наблюдал за этим экспериментом и проводил собственные исследования. Команда Chrome изучала, как пользователи реагируют на разные индикаторы безопасности, понимают ли они разницу между обычным HTTPS и EV, влияет ли зелёная строка на их решения. Результаты были неутешительными: подавляющее большинство пользователей просто не обращали внимания на название компании в адресной строке, а те немногие, кто замечал, часто не понимали, что это вообще значит.

В сентябре 2019 года вышел Chrome 77, и зелёная строка исчезла из адресной строки Google Chrome. Теперь сайты с EV-сертификатами выглядели точно так же, как и обычные HTTPS-сайты — серый замочек, никаких выделений. Информацию о том, что сертификат имеет расширенную проверку, и название компании можно было увидеть только если кликнуть на замочек и полезть в детали.

В официальном документе команда Chrome объясняла это решение предельно честно: исследования показали, что EV-индикатор не помогает пользователям принимать более безопасные решения, зато создаёт ложное ощущение безопасности и перегружает интерфейс.

Mozilla не стала отставать. Практически одновременно, в октябре 2019 года, вышел Firefox 70 с аналогичными изменениями. В списке рассылки разработчиков появилось объявление:

«В Firefox 70 мы убираем EV-индикаторы из левой части адресной строки и переносим дополнительную информацию в панель идентичности».

Браузеры синхронно отказались давать EV-сайтам привилегированное положение. Это был сильный сигнал для всей индустрии.

Почему от EV-индикаторов отказались

Решение основывалось на нескольких ключевых выводах, к которым независимо пришли и Chrome, и Firefox.

Первый вывод: пользователи не принимают более безопасных решений из-за EV-индикатора. Это подтверждалось многочисленными исследованиями и внутренними экспериментами браузеров. Люди просто не смотрят на эту часть интерфейса, когда принимают решение о доверии сайту. Они ориентируются на совсем другие вещи: знакомый дизайн, логотип, наличие товара в корзине, отзывы других покупателей.

Второй вывод: позитивные индикаторы в целом менее эффективны, чем негативные. Психология человека устроена так, что мы лучше реагируем на предупреждения об опасности, чем на подтверждения безопасности. Красный экран с предупреждением о проблеме с сертификатом останавливает большинство пользователей. А зелёная строка не заставляет никого дополнительно проверять сайт, на который они всё равно собирались зайти.

Третий вывод: обучение пользователей искать позитивные индикаторы — опасная стратегия. Когда мы учим людей «ищите зелёный замочек» или «ищите название компании», мы создаём шаблон поведения, который легко эксплуатировать. Мошенники могут нарисовать поддельный замочек прямо на странице, могут использовать Unicode-символы, похожие на настоящую иконку, могут зарегистрировать компанию с похожим названием. А пользователь, приученный искать «зелёное», найдёт это зелёное и успокоится.

The Register в статье об изменениях подводил итог довольно язвительно: индустрия потратила годы и миллионы долларов на создание системы, которая не решила проблему фишинга, зато создала прибыльный рынок дорогих сертификатов.

В октябре 2019 Mozilla опубликовала в своём блоге пост с характерным названием: «Улучшенные индикаторы безопасности и приватности в Firefox 70». Там подробно объяснялось, почему отказ от яркого EV-индикатора — это на самом деле улучшение безопасности, а не её ухудшение. Новый подход фокусировался на том, чтобы чётко показывать проблемы и аномалии, а не пытаться выделить «особо хорошие» сайты среди «просто хороших».

Последний акт: смерть замочка в Chrome

После того как зелёная строка исчезла, серый замочек ещё несколько лет оставался на своём месте. Он уже не обещал ничего особенного, просто молча сигнализировал: «HTTPS включён». Но чем дальше, тем больше становилось понятно, что и этот нейтральный символ создаёт больше проблем, чем решает.

В мае 2023 года команда безопасности Chromium сделала объявление, которое поставило точку в долгой истории замочка. В официальном блоге они написали: начиная с версии Chrome 117, иконка замка в адресной строке будет заменена на нейтральную иконку настроек — то, что разработчики прозвали «тюнером» (она выглядит как ползунки регулировки).

Причины были изложены предельно откровенно. В 2021 году Chrome провёл исследование, в котором участникам показывали замочек и спрашивали, что он означает. Результаты оказались удручающими: только 11% правильно понимали, что замок означает шифрование соединения. Большинство думали, что он гарантирует «безопасность сайта» в целом — что это не фишинг, не мошенничество, что здесь можно безопасно покупать и вводить данные.

Но самое неприятное было в другом:

«Непонимание того, что означает замок, не безобидно. Почти все фишинговые сайты используют HTTPS, а значит, тоже показывают этот значок», — прямо говорилось в посте Chrome.

Получалась абсурдная ситуация: символ, который изначально придумали для обозначения безопасности, теперь активно помогал мошенникам. Фишинговые сайты массово перешли на HTTPS (благо сертификаты бесплатные и автоматические), и теперь они тоже могли похвастаться замочком. А пользователи, обученные «искать замочек», видели его и успокаивались.

Chrome решил радикально: раз замок не помогает, а вредит — уберём его совсем. Вместо него в адресной строке появилась иконка-«тюнер», по клику на которую открываются настройки сайта: разрешения для камеры, микрофона, уведомлений, и там же — информация о соединении и сертификате. Но это уже не яркий символ безопасности, а нейтральная кнопка доступа к техническим деталям.

На iOS, где место в интерфейсе особенно ограничено, замочек просто убрали без замены. А вот страницы по HTTP по-прежнему получали своё предупреждение «Not secure» — потому что это как раз тот случай, когда пользователя нужно остановить и предупредить о реальной проблеме.

Все браузеры на движке Chromium — новый Edge от Microsoft, Opera, Brave и десятки других — автоматически унаследовали это изменение. К концу 2023 года замочек исчез из адресных строк у большинства пользователей интернета.

Firefox по-прежнему показывает небольшой серый замочек слева от адреса (то же самое в его производных вроде LibreWolf и Mullvad Browser), но этот значок уже не окрашивается в зелёный и не пытается «гарантировать доверие». Это просто индикатор того, что соединение шифруется.

Safari шёл по той же траектории, но в версиях для macOS и iOS начиная с 18.4 Apple тоже убрала замок из адресной строки: остались только явные предупреждения Not secure для проблемных сайтов и отдельное меню Connection Security Details. На старых версиях Safari замочек ещё можно увидеть, поэтому у разных пользователей сейчас сосуществуют обе модели.

Как отреагировали пользователи, СМИ, эксперты и мошенники

Пользователи и СМИ: лёгкий шок и объяснительные тексты

Когда в сентябре 2023 года Chrome 117 начал распространяться среди пользователей, форумы поддержки Google заполнились озадаченными вопросами. Люди писали:

«Куда делся замочек? У меня теперь какой-то странный значок вместо него. Это значит, что сайт стал небезопасным? Что-то случилось с моим браузером?»

Многие годы людей учили: «Ищите замочек — это главный признак безопасности». И вот теперь привычный ориентир исчез, а на его месте появился непонятный символ, похожий на ползунки эквалайзера. Неудивительно, что это вызвало беспокойство.

Технологические издания быстро отреагировали объяснительными статьями. Ars Technica, How-To Geek, Wired и десятки других ресурсов поспешили успокоить читателей: нет, Google не отключил HTTPS и не сделал интернет менее безопасным. Наоборот, компания признала, что HTTPS стал настолько базовым стандартом, что выделять его отдельной иконкой больше не имеет смысла.

Ars Technica сформулировала это особенно ёмко:

«Замок ушёл, потому что HTTPS теперь ожидается по умолчанию, а символ оброс неверными ассоциациями».

Статьи объясняли: проблема не в том, что замочек был плох сам по себе, а в том, что люди приписывали ему не то значение. Он означал «соединение зашифровано», а пользователи читали это как «сайт проверен и безопасен во всех отношениях». Эта иллюзия стала опасной, когда мошенники научились использовать HTTPS так же легко, как и честные сайты.

Волна статей с заголовками вроде «Что случилось с замочком в Chrome и почему это хорошо» прокатилась по техноблогам в течение нескольких недель. SSL-провайдеры публиковали свои объяснения, стараясь при этом не слишком подрывать доверие к собственным продуктам. Компании, занимающиеся кибербезопасностью, использовали момент, чтобы напомнить о более надёжных способах защиты: двухфакторной аутентификации, менеджерах паролей, внимательности к фишинговым письмам.

Эксперты и исследователи: «наконец-то»

В профессиональном сообществе специалистов по безопасности реакция была совсем другой. Там преобладало облегчение и даже некоторое злорадство: наконец-то браузеры признали то, о чём исследователи говорили годами.

Академические работы ещё с середины 2010-х фиксировали проблему. Исследования юзабилити безопасности раз за разом показывали: значок замка регулярно неправильно трактуется пользователями. Одно из исследований, проведённое в университете Brown, прямо в названии содержало цитату из интервью с владельцем бизнеса: «Это создаёт доверие у клиентов» — так он объяснял, зачем купил SSL-сертификат. Но исследование показало, что реальное влияние на поведение пользователей было минимальным или вообще противоположным ожидаемому.

Выводы работы были неутешительны:

«Мы заключаем, что иконка замка всё ещё часто неверно понимается: её воспринимают как индикатор общей доверенности сайта, а не только защищённого соединения», — констатировали исследователи.

Другие исследования шли ещё дальше, показывая, что позитивные индикаторы безопасности в принципе опасны. Когда мы учим пользователей искать «хорошие» признаки (зелёный замочек, зелёная строка, галочки), мы создаём шаблон, который злоумышленники могут имитировать. Материалы курса по безопасности Stanford подчёркивали: гораздо эффективнее обучать людей реагировать на предупреждения и аномалии, чем искать подтверждения безопасности.

Часть пользователей вообще не смотрит на адресную строку, фокусируясь на визуальном дизайне страницы, логотипах и знакомых элементах интерфейса. Мошенники это прекрасно понимают и вкладывают усилия в то, чтобы их фальшивые страницы выглядели точь-в-точь как настоящие — вплоть до рисования поддельных замочков прямо в содержимом страницы.

Трой Хант, который ещё в 2018 году писал о смерти EV-сертификатов, в своих выступлениях и статьях неоднократно повторял: индустрия SSL-сертификатов слишком долго продавала иллюзию безопасности вместо реальной защиты. Его позиция была жёсткой: EV-индикаторы не защищают так, как должны, а бизнес вокруг дорогих сертификатов во многом держится на маркетинге и непонимании пользователей.

Многие эксперты в соцсетях и блогах открыто поддержали решение Google убрать замочек. Они указывали, что гораздо правильнее обучать людей смотреть на доменное имя в адресной строке, использовать менеджеры паролей (которые не подставят пароль на фишинговом сайте с похожим доменом), доверять предупреждениям браузера и включать двухфакторную аутентификацию — а не полагаться на одну маленькую иконку.

Мошенники: мы уже давно с HTTPS

Отдельная и весьма ироничная часть этой истории — поведение мошенников. К моменту, когда Chrome убрал замочек, фишинговые сайты уже массово использовали HTTPS.

Ещё в 2017 году компания PhishLabs опубликовала отчёт, который многих шокировал: доля фишинговых сайтов, использующих HTTPS, выросла с менее чем 3% до примерно 25% всего за год. Wired писал об этом с тревогой: мошенники научились использовать шифрование, чтобы выглядеть легитимно.

Причины были очевидны. Во-первых, получить сертификат стало элементарно просто и бесплатно благодаря Let’s Encrypt. Во-вторых, сами браузеры подталкивали к этому: Chrome начал показывать страшные предупреждения на HTTP-сайтах, и даже мошенники не хотели отпугивать жертв красными экранами. В-третьих, наличие HTTPS и замочка усыпляло бдительность пользователей, обученных «искать зелёный замочек».

Регулярные отчёты Anti-Phishing Working Group (APWG) последних лет устойчиво фиксируют: фишинговые сайты продолжают массово переходить на HTTPS. К 2023 году это уже не было новостью — это стало нормой. Мошенники используют HTTPS так же охотно, как и честные сайты.

Chrome в своём объявлении об удалении замочка сформулировал это максимально прямо:

«Почти все фишинговые сайты используют HTTPS, а значит, тоже показывают значок замка», — написали в блоге Chromium.

То есть к моменту «смерти» замочка он уже давно перестал быть маркером, отличающим хорошие сайты от плохих. Злоумышленники научились эксплуатировать этот символ так же эффективно, как и создатели честных ресурсов. Замочек превратился из щита в камуфляж для мошенников.

Почему учебники до сих пор учат «смотрите на замочек»

Казалось бы, если браузеры признали проблему и изменили интерфейс, если исследователи годами писали о неэффективности замочка, если мошенники давно научились его имитировать — то логично ожидать, что и обучающие материалы обновятся. Но реальность оказалась гораздо более инертной.

Если сейчас погуглить что-то вроде «как проверить безопасность сайта» или «как не попасться на фишинг», вы с большой вероятностью попадёте на статьи, которые до сих пор строятся вокруг старой логики. Блоги малого бизнеса объясняют: «Увидели замочек — сайт защищён и заслуживает доверия». Другие ресурсы пишут: «Замочек означает, что сайт безопасен для ввода личных данных».

Даже официальные справочные материалы браузеров не всегда успевают обновиться. Справка Mozilla Firefox для пользователей до сих пор строит объяснение вокруг «значка замка слева от адреса» — хотя там честно уточняется, что это именно индикатор шифрования, а не гарантия честности сайта.

Почему так происходит? Несколько причин работают одновременно.

Во-первых, инерция контента. Корпоративные презентации по цифровой безопасности, методички для сотрудников, школьные уроки информатики, онлайн-курсы — всё это создаётся раз в несколько лет и обновляется только когда что-то ломается совсем радикально. Замена иконки в одном браузере не кажется достаточным поводом для переписывания всех материалов, особенно если в Firefox и Safari замочек пока ещё есть.

Во-вторых, слишком удобная метафора. «Ищи замочек» — это просто. Это можно объяснить за 30 секунд, это легко запоминается, это даёт иллюзию конкретного действия. А правильный совет звучит гораздо сложнее и расплывчатее: «Внимательно смотри на доменное имя, проверяй орфографию, не переходи по ссылкам из подозрительных писем, используй менеджер паролей, включай двухфакторку, доверяй предупреждениям браузера». Это требует больше времени на объяснение, больше усилий на понимание, и это не даёт простого визуального маркера.

В-третьих, фрагментация браузеров. В Safari и Firefox замочек пока ещё существует, пусть и в совершенно нейтральном, обесцвеченном виде. Значит, для части аудитории старый совет «немножко работает». Авторы обучающих материалов не хотят путать людей, объясняя, что «в Chrome замочка нет, а в Firefox есть, но он ничего особенного не значит». Проще оставить старую формулировку, которая хотя бы частично актуальна.

Статьи про замочек

Статьи про замочек. Самая свежая от 14 ноября 2025 года

Что теперь говорить обычным людям вместо «ищите замочек»

Итак, мы разобрались, как и почему замочек умер. Но остаётся практический вопрос: что же теперь советовать обычным пользователям? Ведь проблема фишинга и мошенничества никуда не делась. Наоборот, атаки становятся всё более изощрёнными, а злоумышленники — всё более профессиональными. Если старый совет «смотрите на замочек» больше не работает, чем его заменить?

Что на самом деле означает HTTPS (и означал замочек)

Для начала нужно честно объяснить, что вообще делает HTTPS и чего он не делает. Это поможет избавиться от иллюзий и выстроить правильные ожидания.

HTTPS и лежащий в его основе протокол TLS делают ровно две вещи. Первое: они шифруют соединение между вашим браузером и сервером. Это значит, что кто-то, перехватывающий ваш трафик (например, в публичной Wi-Fi-сети в кафе), не сможет прочитать, что именно вы передаёте — данные карты, пароли, личные сообщения. Всё это идёт в зашифрованном виде.

Второе: они подтверждают, что сертификат выдан на этот конкретный домен. Удостоверяющий центр проверяет, что владелец сайта действительно контролирует домен, указанный в сертификате. Если вы заходите на bank.example.com, а сертификат выдан на evil-site.com, браузер покажет ошибку.

Но — и это критически важно — HTTPS не обещает, что владельцы сайта честные люди. Не гарантирует, что это не фишинг. Не проверяет, что сервис легитимный, а не мошеннический. Не означает, что на сайте нет вредоносного кода. Как метко формулирует Ask Leo, HTTPS просто говорит, что соединение зашифровано, и всё.

Замочек (когда он ещё был) обозначал именно и только это. Но пользователи читали в нём гораздо больше, и в этом была главная проблема.

Если вы сейчас читаете эту статью в Firefox или старой версии Safari, вы, скорее всего, всё ещё видите замочек слева от адреса. Это нормально: разные браузеры идут к одной и той же цели разными темпами. Важно не то, нарисован там замок или тюнер, а то, что сам по себе этот значок больше не должен быть для вас главным критерием доверия к сайту.

На что реально смотреть пользователю

Раз замочек больше не помощник, на что же ориентироваться? Вот несколько конкретных рекомендаций, которые действительно повышают безопасность.

Доменное имя — ваш главный ориентир. Внимательно, очень внимательно читайте адрес в адресной строке браузера. Это самая важная информация на всём экране. Разница между bank.example.com и example.com-bank-login.info — это разница между вашим настоящим банком и фишинговым сайтом. Мошенники мастерски регистрируют домены, которые на беглый взгляд выглядят правильно: с лишними буквами, с опечатками, с похожими словами. paypa1.com вместо paypal.com. micros0ft.com вместо microsoft.com. Странные доменные зоны тоже должны настораживать: если вы всегда заходили на .com, а тут вдруг .info или .xyz — стоит задуматься.

Как вы попали на сайт — часто важнее, чем сам сайт. Подавляющее большинство успешных фишинговых атак начинается не с того, что пользователь сам набрал неправильный адрес, а с того, что он перешёл по ссылке. Письмо якобы от банка: «Ваш счёт заблокирован, срочно войдите для подтверждения». Сообщение в мессенджере от знакомого, чей аккуратно взломан: «Посмотри это видео, ты там есть!». Реклама в соцсети с невероятной скидкой. Все эти ссылки ведут на тщательно подготовленные копии настоящих сайтов, с HTTPS и всеми атрибутами.

Золотое правило: не переходите по ссылкам из писем и сообщений, когда речь идёт о чём-то важном — банке, соцсетях, рабочих аккаунтах. Лучше зайдите через закладку, через поиск или вручную наберите адрес.

Предупреждения браузера — это не баг, а защита. Если Chrome или Firefox показывает полноэкранное красное предупреждение о проблемах с сертификатом, надпись «Ваше соединение не защищено» или «Not secure», жёлтый треугольник — это не случайная ошибка и не повод искать кнопку «Всё равно продолжить». Это означает, что браузер обнаружил реальную проблему: сертификат устарел, или не совпадает с доменом, или подписан недоверенным центром, или это вообще HTTP вместо HTTPS. Игнорировать такие предупреждения — очень плохая идея. Mozilla в своём блоге подчёркивает: современная модель безопасности строится именно на громких предупреждениях при проблемах, а не на тихих поощрениях при их отсутствии.

Менеджер паролей — ваш лучший детектор фишинга. Это может показаться неочевидным, но встроенный менеджер паролей браузера или сторонние приложения вроде 1Password, Bitwarden, LastPass работают как отличный индикатор подлинности сайта. Они запоминают не просто «пароль для банка», а «пароль для bank.example.com». Если вы попали на фишинговый сайт bank-example.com или example.com-secure.info, менеджер паролей не подставит ваши данные, потому что домен не совпадает. Это очень надёжный автоматический способ защиты: если менеджер вдруг не подставляет логин и пароль, хотя вы «точно на сайте банка» — возможно, вы не там.

Двухфакторная аутентификация — последний рубеж. SMS с кодом, приложения-генераторы одноразовых кодов (Google Authenticator, Яндекс Ключ, Authy), аппаратные ключи безопасности (YubiKey) — всё это не панацея, но резко снижает ущерб от украденного пароля. Даже если мошенники выманят у вас логин и пароль на фишинговом сайте, без второго фактора они не смогут войти в аккаунт. Конечно, есть более сложные атаки (перехват SMS, фишинг в реальном времени с проксированием), но они требуют гораздо больше усилий, и большинство массовых мошенников на это не пойдут.

Как переписать старый совет «смотрите на замочек»

Если вы пишете статью, создаёте корпоративную памятку или учите родственников основам безопасности в интернете, вот современная формулировка, которая заменит устаревший совет про замочек:

«Убедитесь, что адрес сайта начинается с https:// и написан без ошибок, а браузер не показывает никаких предупреждений. Внимательно проверьте доменное имя — именно его, а не общий вид страницы. Сам по себе замочек (если он есть в вашем браузере) больше не гарантирует честность сайта — он означает только шифрование соединения, которое есть почти везде, включая мошеннические сайты».

И отдельным блоком — краткое объяснение, почему замочек больше не работает как индикатор доверия:

Почему замочек перестал быть признаком безопасности:

  • Большинство сайтов (более 80%) уже используют HTTPS — это стало нормой, а не исключением.
  • Фишинговые и мошеннические сайты тоже массово перешли на HTTPS и показывают такой же замочек.
  • Исследования показали, что пользователи неправильно понимают значение замочка, думая, что он гарантирует честность сайта.
  • Поэтому браузеры начали отказываться от этого символа или делать его нейтральным.

Это объяснение можно дополнить ссылками на официальные источники — блоги Chrome и Mozilla, исследования, статьи. Людям важно понимать, что это не чья-то личная точка зрения, а выводы, к которым пришли и разработчики браузеров, и учёные, изучающие безопасность.

Чему нас научил зелёный замочек

История зелёного замочка — это не просто история об одной иконке в браузере. Это история о том, как меняется интернет, как эволюционируют угрозы и как наши представления о безопасности должны меняться вместе с ними.

Первый урок: простые символы работают только в простом мире. В 1990-х, когда Netscape придумал замочек, мир был простым. Защищённых сайтов было мало, получить сертификат было сложно и дорого, поэтому сам факт наличия HTTPS что-то значил. Замочек был понятным мостиком между сложной криптографией и обычным пользователем, который просто хотел купить книгу онлайн. В ту эпоху, как отмечает Chromium, это работало: защищённые соединения были редкостью, и акцент на них имел смысл.

Но мир усложнился. HTTPS стал массовым, доступным, автоматизированным. Технология, которая должна была отличать хорошие сайты от плохих, превратилась в универсальный стандарт, который используют все — и честные, и мошенники. Простой символ перестал отражать сложную реальность.

Второй урок: иллюзия безопасности опаснее отсутствия защиты. Когда пользователи верят, что замочек означает «сайту можно доверять», они расслабляются. Они перестают проверять адрес, перестают задавать вопросы, перестают слушать внутренний голос, который шепчет: «Что-то здесь не так». Исследования показали: люди, обученные искать позитивные индикаторы, становятся более уязвимыми, потому что мошенники научились имитировать эти индикаторы.

Ложная уверенность — это подарок для злоумышленников. Гораздо честнее сказать пользователю: «Нет простого способа проверить, что сайт честный. Вам придётся думать, проверять, сомневаться». Да, это сложнее. Да, это требует больше усилий. Но это хотя бы соответствует реальности.

Третий урок: современная безопасность — это тишина в норме и крик при проблемах. Разработчики браузеров пришли к выводу, что позитивные индикаторы неэффективны. Как подчёркивают материалы Stanford, гораздо лучше работает противоположная модель: когда всё нормально — интерфейс нейтральный, ничего не отвлекает. Но когда появляется реальная проблема — HTTP вместо HTTPS, битый сертификат, подозрение на фишинг — браузер кричит об этом громко, ярко, невозможно-игнорируемо.

Красный полноэкранный экран с предупреждением останавливает людей гораздо эффективнее, чем зелёная галочка убеждает их действовать. Психология человека устроена так, что мы лучше реагируем на угрозы, чем на заверения. И браузеры научились это использовать.

Замочек умер не потому, что браузеры перестали заботиться о безопасности. Наоборот — он умер потому, что браузеры стали относиться к безопасности серьёзнее. Они признали, что старая модель не работает, что она даёт пользователям ложное чувство защищённости, что она помогает мошенникам больше, чем честным сайтам.

Когда я говорю о смерти зелёного замочка, речь не про конкретный набор пикселей в адресной строке, а про конец эпохи, когда пользователей учили: «ищите зелёный значок и расслабьтесь». В каком-то браузере замок ещё можно увидеть, но как индикатор безопасности для пользователей это уже тупиковая ветка.

Это был трудный, но необходимый шаг. И теперь наша задача — обновить собственные представления о безопасности, перестать искать простые визуальные маркеры и начать думать критически о каждом сайте, каждой ссылке, каждом вводе данных.

Зелёный замочек был хорошим инструментом для своего времени. Но его время прошло. И это нормально — технологии эволюционируют, а вместе с ними должны эволюционировать и мы.

Источники

Предыдущий пост Следующий пост
Наверх