谷歌于2月9日宣布,从今年7月起,Chrome浏览器的地址栏将把所有HTTP标示为不安全网站,这将是Chrome浏览器“围剿”HTTP网站的第三步。在URL地址栏中将所有HTTP站点标记为“不安全”的决定是谷歌安全战略的一部分。
在第一阶段推出Chrome 56时,谷歌就宣布如果页面包含密码或支付卡字段,则会将所有 HTTP 页面标记为“不安全”。第二个阶段即推出 Chrome 62 时,谷歌将所有以“私密浏览”窗口中打开的所有 HTTP 页面标记为“不安全”。在2018年7月发布的 Chrome 68 将成为安全战略的最后一个阶段。
事实上Google很早就已经开始进行大力推广HTTPS,但当时响应支持的并不是很多。这主要是因为迁移至HTTPS比较困难存在一定的技术门槛,而且成本也比较高昂;其次就是当时没有任何行业在推动这项变革。
在Google的努力下,目前Chrome上68%的流量都是得到保护的,自Top 100网站中已经有81家网站默认使用HTTPS。
谷歌在声明中表示:
过去几年来,我们已经通过大力宣传网站采用HTTPS加密,向更安全的网络迈进。 Chrome将在2018年7月发布Chrome 68,将所有的HTTP站点标记为不安全。
谷歌并非将 HTTP 站点标记为“不安全”的唯一厂商,Mozilla 在2017年12月时就开启了这一趋势,当时工程师也开始为火狐浏览器做出的同样举措开展了铺垫工作。
不过和谷歌不同的是,Mozilla基金会在计划激活这一新策略时并未宣布最后期限。Mozilla 和谷歌一样也是在 HTTPS 协议的使用越来越多时转向“HTTP默认不安全”的策略。
截至2017年年末,HTTPS方面的进展非常显着,已经有81%的网站页面采用了HTTPS加密,在Mac生态系统中,Chrome浏览器超过78%的流量都在使用HTTPS。而在Android和Windows系统中,Chrome的68%流量来自HTTPS。
尚未成功将其网站迁移到更安全的HTTPS协议的开发人员可以使用最新的Node CLI版本Lighthouse。Lighthouse是一种自动化的网站性能评测工具,可提供内容审查功能来帮助开发者转移至HTTPS网站。这一新工具会向开发者显示哪些网站来源在使用HTTP,哪些网站仅仅通过改变子资源参考就可以升级到HTTPS版本。
不幸的是,HTTPS将成为所有网站的标准,还需要几年的时间,但Google承诺尽一切努力使网站管理员和开发人员的采用变得轻而易举,并让Chrome用户了解所有的HTTP站点都不安全。
今年7月发布的Chrome 68会在地址栏中这样显示:
对于这一变化,谷歌是这样说明的:
Chrome新界面将帮助用户了解所有的HTTP网站都是不安全的,从而采用安全的HTTPS网站。HTTPS比以往任何时候都更便利、更便宜,它带来了性能提升和强大的新功能,这些都是HTTP所没有的。
Chrome目前以黑色字体标示“不安全”字样,最终谷歌会把“不安全”标为红色,并在旁边添加表示警告的红图标,为的是进一步强调HTTP网站不应被信任。”
领取专属 10元无门槛券
私享最新 技术干货