2015年http链接将被Google标记为不安全链接
Chrome的安全团队正在制定一项计划,明确通知用户http连接非常不安全。http的不安全警告,可能会类似于现在的https不安全因素报错标识。很多网民认为,浏览器不会报错就是安全的,但谷歌安全团队指出“web浏览器唯一不发出警告的情况,恰恰是不安全的情况,就是使用http传输协议时。” 谷歌的未来展望是,有一天https被广泛使用,安全连接不需要做特殊标记,就像现在https连接一样普遍。
SSL Labs和bulletproof SSL and TLS的作者Ivan Ristic在采访中表示,“谷歌的决定是朝着正确的方向迈出了一步。”
“目前的现状是有些网站不加密,有些选择性做部分加密,这样是不安全的,只有100%加密所有流量(译注:全站https),才能获得安全。当部署部分加密时,很多陷阱很难得逞。但这是一个长期的过程,不能快速实现。我们只能通过一系列的小步骤打破这种局面。这种变化本身不会使我们更安全。然而, 这是一个重要的步骤,过渡到一个安全的网络。”
谷歌暗示UA连接传输层安全分为三个状态:安全(有一个有效的https证书); 可疑(有效的https但存在不安全因素或TLS错误);不安全(失效的https或http明文连接)。
谷歌鼓励供应商采取分阶段的方法实现这些变化。例如,他们说这可能是一个好主意对可疑和不安全的起源同样在分类前的中期http连接以同样的方式他们分类网站与已知长期不好的起源。
“我们都需要数据通信网络安全(隐私、安全、防干扰),“Chromium安全团队写道。“当没有数据安全,UA应该明确显示,这样用户就可以做出明智的决定。”
编后语
互联网巨头都在强调https的重要性,并不断在自己的产品中支持https的普及应用。国内外的CA机构,也在为普及https应用做出贡献,沃通WoSign都提供免费SSL证书,让网站零成本进入全站https时代。国内沃通免费SSL证书更好地支持中文,更适合国内网站使用。