谷歌认定:HTTP链接=不安全链接

2018年02月14日 11:09 678

谷歌于2月9日宣布,从今年7月起,Chrome浏览器的地址栏将把所有HTTP标示为不安全网站,这将是Chrome浏览器“围剿”HTTP网站的第三步。在URL地址栏中将所有HTTP站点标记为“不安全”的决定是谷歌安全战略的一部分。


在第一阶段推出Chrome 56时,谷歌就宣布如果页面包含密码或支付卡字段,则会将所有 HTTP 页面标记为“不安全”。第二个阶段即推出 Chrome 62 时,谷歌将所有以“私密浏览”窗口中打开的所有 HTTP 页面标记为“不安全”。在2018年7月发布的 Chrome 68 将成为安全战略的最后一个阶段。


事实上Google很早就已经开始进行大力推广HTTPS,但当时响应支持的并不是很多。这主要是因为迁移至HTTPS比较困难存在一定的技术门槛,而且成本也比较高昂;其次就是当时没有任何行业在推动这项变革。

在Google的努力下,目前Chrome上68%的流量都是得到保护的,自Top 100网站中已经有81家网站默认使用HTTPS。


谷歌在声明中表示:

过去几年来,我们已经通过大力宣传网站采用HTTPS加密,向更安全的网络迈进。 Chrome将在2018年7月发布Chrome 68,将所有的HTTP站点标记为不安全。


谷歌并非将 HTTP 站点标记为“不安全”的唯一厂商,Mozilla 在2017年12月时就开启了这一趋势,当时工程师也开始为火狐浏览器做出的同样举措开展了铺垫工作。

不过和谷歌不同的是,Mozilla基金会在计划激活这一新策略时并未宣布最后期限。Mozilla 和谷歌一样也是在 HTTPS 协议的使用越来越多时转向“HTTP默认不安全”的策略。


截至2017年年末,HTTPS方面的进展非常显着,已经有81%的网站页面采用了HTTPS加密,在Mac生态系统中,Chrome浏览器超过78%的流量都在使用HTTPS。而在Android和Windows系统中,Chrome的68%流量来自HTTPS。

尚未成功将其网站迁移到更安全的HTTPS协议的开发人员可以使用最新的Node CLI版本Lighthouse。Lighthouse是一种自动化的网站性能评测工具,可提供内容审查功能来帮助开发者转移至HTTPS网站。这一新工具会向开发者显示哪些网站来源在使用HTTP,哪些网站仅仅通过改变子资源参考就可以升级到HTTPS版本。

不幸的是,HTTPS将成为所有网站的标准,还需要几年的时间,但Google承诺尽一切努力使网站管理员和开发人员的采用变得轻而易举,并让Chrome用户了解所有的HTTP站点都不安全。


今年7月发布的Chrome 68会在地址栏中这样显示:


对于这一变化,谷歌是这样说明的:

Chrome新界面将帮助用户了解所有的HTTP网站都是不安全的,从而采用安全的HTTPS网站。HTTPS比以往任何时候都更便利、更便宜,它带来了性能提升和强大的新功能,这些都是HTTP所没有的。


Chrome目前以黑色字体标示“不安全”字样,最终谷歌会把“不安全”标为红色,并在旁边添加表示警告的红图标,为的是进一步强调HTTP网站不应被信任。”


本文转载自嘶吼


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录