HTTP повністю мертвий у 2026 році?

Функціонально так для нового публічного веб-трафіку. Основні веб-переглядачі за замовчуванням використовують режим лише HTTPS, позначають HTTP як незахищений і знижують рейтинг сторінок HTTP під час пошуку. Деякі спеціалізовані контексти все ще використовують HTTP — внутрішні служби в приватних мережах, розробка на локальному хості, пристрої IoT за брандмауерам — але для загальнодоступних сайтів HTTPS є де-факто базовим.

Чому HTTPS так довго став універсальним?

Три причини. По-перше, раніше сертифікати TLS коштували реальні гроші — 50–300 доларів на рік за домен. По-друге, установка вимагала інженерних зусиль. По-третє, мережі доставки контенту повинні були підтримувати SNI, щоб обслуговувати HTTPS у великих масштабах. Let’s Encrypt (2016) знищив перші два, а сучасні CDN розв’язали третій. Тоді прийняття різко прискорилося.

Чи приховує HTTPS, які сайти я відвідую?

Переважно, але не повністю. HTTPS шифрує вміст, але IP-адреса призначення та ім’я хоста (через поле «Індикація імені сервера» в рукостисканні TLS) видимі мережевим спостерігачам. Encrypted Client Hello (ECH) усуває цю прогалину та розповсюджується в основних браузерах. Для повної конфіденційності метаданих вам також потрібен VPN або Tor.

HTTP Strict Transport Security, заголовок відповіді, який повідомляє браузерам відмовлятися від звичайних HTTP-з’єднань із доменом протягом певного періоду. Він блокує атаки з видаленням SSL. Список попереднього завантаження HSTS записує основні домени в браузери під час створення, тому навіть перше в історії підключення переходить безпосередньо до HTTPS.

Що таке Let's Encrypt?

Безкоштовний, автоматизований, некомерційний центр сертифікації, запущений у квітні 2016 року Internet Security Research Group. Він видає сертифікати через протокол ACME без ручної роботи з документами та без комісій. Зараз Let's Encrypt видає сотні мільйонів активних сертифікатів і є головною причиною, чому HTTPS перетворився з преміум-функції на базову.

Пояснення HTTPS: як замок захопив Інтернет

HTTPS – це протокол, який ставить замок в адресний рядок кожного сучасного браузера. Це HTTP, загорнутий у TLS, але історія про те, як він пройшов шлях від нішевої функції електронної комерції в 1994 році до повсюдного використання понад 90% веб-трафіку в 2026 році, є однією з найважливіших перемог у сфері безпеки в історії Інтернету.

Повний текст статті подано англійською мовою нижче.

Що насправді таке HTTPS

HTTPS — захищений протокол передачі гіпертексту — це той самий HTTP, який використовували веб-браузери та сервери з 1990 року, але на основі безпеки транспортного рівня (TLS) для конфіденційності, цілісності та автентифікації. Порт за замовчуванням – 443 замість HTTP 80. URL-адреси починаються з https:// замість http://. Для будь-кого, хто спостерігає за мережею, трафік виглядає як зашифровані байти — вони бачать, що ви під’єднуєтеся до сервера, але не те, що ви говорите.

Щоб дізнатися більше про сам TLS, перегляньте наш пояснювач TLS. HTTPS — це просто HTTP-over-TLS.

Історична хронологія

1994: Netscape постачає HTTPS у Navigator за допомогою абсолютно нового протоколу SSL 1.0. Насамперед для транзакцій кредитними картками.
2000: RFC 2818 формалізує HTTP-over-TLS як стандарт Інтернету.
2010: EFF запускає HTTPS Everywhere, розширення для браузера, яке змушує сотні великих сайтів оновлювати звичайний HTTP до HTTPS автоматично. Перший популярний інструмент, який робить універсальний HTTPS нормальним очікуванням.
2016: Let's Encrypt запускається публічно. Безкоштовні сертифікати, автоматизовані через протокол ACME. Раптом HTTPS коштує 0 доларів США та 90 секунд налаштування замість 50 доларів США на рік і танцю CSR вручну. Це найбільший прискорювач.
Липень 2018 р.: Chrome починає позначати HTTP-сайти як "Не безпечно" в адресному рядку. Позначення змінює сприйняття користувачів майже миттєво.
2019–2020: частка HTTPS у всьому веб-трафіку перевищує 90% у даних Firefox Telemetry та Chrome.
2021+: Режим лише HTTPS стає стандартним у Firefox, Brave та Edge. Блокування змішаного вмісту, застосування HSTS і прозорість сертифікатів стають зрілими.
2025: ~71% із 150 000 найкращих сайтів безпечно використовують HTTPS; ~96% обслуговують принаймні деякі протоколи HTTPS.

Від чого захищає HTTPS

прослуховування: Інтернет-провайдери, Wi-Fi у кафе, прозорі проксі-сервери, мережеве обладнання — усе бачить лише зашифроване байт.
Зміщення: проміжні блоки не можуть вставляти рекламу, зловмисне програмне забезпечення чи модифіковані відповіді (справжня проблема на звичайному HTTP у 2010-х роках).
Iперсонація: ланцюжок сертифікатів доводить, що сервер є тим, за кого себе видає, закріпленим у ЦС вашого браузера trusts.

Від чого HTTPS не захищає

Метадані: IP-адреса та ім’я хоста (через SNI) усе ще видимі для мережевих спостерігачів. Encrypted Client Hello (ECH) усуває цю прогалину; широко поширене розгортання за замовчуванням все ще триває.
Компрометація кінцевої точки: HTTPS не допомагає, якщо сам сервер було зламано або якщо у вашому браузері запущено зловмисне програмне забезпечення.
Аналіз трафіку: розміри пакетів і шаблони синхронізації витікають інформацію навіть через шифрування. Дослідники продемонстрували відновлення фрагментів пошукових запитів, захворювань і біржової торгівлі лише за шаблонами трафіку HTTPS.
ЦС, якому ви довіряєте: скомпрометований або примусовий ЦС може видавати дійсні сертифікати для будь-якого домену. Журнали прозорості сертифікатів дозволяють виявити атаки, але не неможливо.

Типи сертифікатів

Три варіанти сертифіката TLS:

Домен перевірено (DV) — підтверджує, що ви контролюєте домен. Найдешевший, найшвидший, які проблеми Let's Encrypt. Тип сертифіката, який стоїть за більшою частиною Інтернету в 2026.
Перевірена організація (OV) — додатково підтверджує існування організації. Скромна преміальна ціна.
Extended Validation (EV) — перевіряє юридичну особу за допомогою ручної роботи з документами. Використовується для відображення назви компанії в адресному рядку; сучасні веб-переглядачі значною мірою применшують цю різницю, оскільки користувачі насправді її не читають.

HSTS — заголовок «ніколи більше не обслуговувати мене HTTP»

HTTP Strict Transport Security (RFC 6797) — це заголовок відповіді, який повідомляє браузеру «протягом наступних N секунд ніколи не підключатися до цього домену через звичайний HTTP, незалежно від того, що вводить користувач». Він блокує атаки видалення SSL, коли активний зловмисник перехоплює початковий простий текстовий HTTP-запит і запобігає оновленню до HTTPS.

Список попереднього завантаження HSTS йде далі: домени підпорядковуються списку, записаному в Chrome, Firefox, Safari, Edge і Brave під час створення. Перше відвідування попередньо завантаженого домену переходить безпосередньо до HTTPS — зловмисник не зможе перехопити оновлення. Основні сайти (банки, постачальники електронної пошти, державні служби) майже повсюдно з’являються в списку попереднього завантаження.

Блокування змішаного вмісту

Сторінка HTTPS, яка завантажує HTTP-зображення, сценарій або таблицю стилів, має «змішаний вміст» — гарантії HTTPS порушуються, оскільки HTTP-ресурс може бути підроблено. Сучасні браузери автоматично оновлюють ці запити до HTTPS або повністю блокують їх. До 2025 року сайти з будь-яким значущим змішаним вмістом здебільшого не працюватимуть у сучасних браузерах.

HTTP/2, HTTP/3 і QUIC міграція

На практиці нові версії HTTP працюють лише з HTTPS. HTTP/2 (2015) вимагає TLS у всіх основних браузерах. HTTP/3 (2022) працює на QUIC — протоколі на основі UDP, у основі якого лежить TLS 1.3. Немає відкритого тексту HTTP/3. Перехід на QUIC тихо відбувається з 2022 року, і тепер він забезпечує більшість трафіку Google, Facebook і Cloudflare.

Історія Let's Encrypt

До Let's Encrypt отримання сертифіката коштувало 50–300 доларів США на рік на домен і вимагало незручного ручного процесу. Після Let's Encrypt сертифікати коштують 0 доларів і видаються автоматично через протокол ACME за лічені секунди.

Економічний зсув був усієї гри. Бар’єр для HTTPS знизився з «значущого проекту» до «однострокового командного рядка». У поєднанні з кампанією Chrome із ганьбою HTTP веб перейшов із більшості HTTP на більшість HTTPS протягом чотирьох років. Це надзвичайно швидка перемога для функції безпеки. Зняття

SSL — атака HSTS убита

Продемонстровано Moxie Marlinspike на Black Hat 2009: зловмисник у тій самій мережі перехоплює початковий HTTP-запит користувача (більшість користувачів вводять bank.com, а не https://bank.com), надає їм HTTP-версію сайту та проксі-сервер для з’єднання зі справжнім HTTPS-сайтом. Користувач бачить, що виглядає як правильний сайт; зловмисник бачить свої облікові дані у вигляді відкритого тексту.

HSTS плюс попереднє завантаження HSTS плюс універсальний HTTPS плюс режим HTTPS-Only у браузері зробили цю атаку фактично захищеною від основних сайтів у 2026 році.

Портали захоплення — остання незручна перевага

Портали доступу Wi-Fi у готелях і аеропортах спочатку були розроблені навколо перехоплення HTTP-запитів. Коли HTTPS наближався до 100%, адаптивні портали почали миттєво виходити з ладу — ваш телефон під’єднався до Wi-Fi, але не міг нічого завантажити, оскільки кожна сучасна програма спочатку пробує HTTPS. І iOS, і Android додали виявлення порталу приєднання, яке перевіряє невелику відому кінцеву точку HTTP, щоб виявити перехоплення та запустити потік входу. Більшість основних адаптивних порталів працюватимуть у 2026 році; деякі все ще ні.

Часті запитання

HTTP повністю мертвий у 2026 році?: Функціонально так для нового публічного веб-трафіку. Основні веб-переглядачі за замовчуванням використовують режим лише HTTPS, позначають HTTP як незахищений і знижують рейтинг сторінок HTTP під час пошуку. Деякі спеціалізовані контексти все ще використовують HTTP — внутрішні служби в приватних мережах, розробка на локальному хості, пристрої IoT за брандмауерам — але для загальнодоступних сайтів HTTPS є де-факто базовим.
Чому HTTPS так довго став універсальним?: Три причини. По-перше, раніше сертифікати TLS коштували реальні гроші — 50–300 доларів на рік за домен. По-друге, установка вимагала інженерних зусиль. По-третє, мережі доставки контенту повинні були підтримувати SNI, щоб обслуговувати HTTPS у великих масштабах. Let’s Encrypt (2016) знищив перші два, а сучасні CDN розв’язали третій. Тоді прийняття різко прискорилося.
Чи приховує HTTPS, які сайти я відвідую?: Переважно, але не повністю. HTTPS шифрує вміст, але IP-адреса призначення та ім’я хоста (через поле «Індикація імені сервера» в рукостисканні TLS) видимі мережевим спостерігачам. Encrypted Client Hello (ECH) усуває цю прогалину та розповсюджується в основних браузерах. Для повної конфіденційності метаданих вам також потрібен VPN або Tor.
Що таке HSTS?: HTTP Strict Transport Security, заголовок відповіді, який повідомляє браузерам відмовлятися від звичайних HTTP-з’єднань із доменом протягом певного періоду. Він блокує атаки з видаленням SSL. Список попереднього завантаження HSTS записує основні домени в браузери під час створення, тому навіть перше в історії підключення переходить безпосередньо до HTTPS.
Що таке Let's Encrypt?: Безкоштовний, автоматизований, некомерційний центр сертифікації, запущений у квітні 2016 року Internet Security Research Group. Він видає сертифікати через протокол ACME без ручної роботи з документами та без комісій. Зараз Let's Encrypt видає сотні мільйонів активних сертифікатів і є головною причиною, чому HTTPS перетворився з преміум-функції на базову.