HTTPS迎來春天:Chrome計劃將所有HTTP標記為不安全
責編:admin |2014-12-18 16:17:18Chromium開發團隊計劃從2015開始將所有HTTP頁面標記為不安全,并積極明確的告知用戶,HTTP頁面并不具有任何數據安全的保護能力,鼓勵更多的網站實現更為有效的HTTPS加密。
Google公布計劃
類似于Let's Encrypt,Chromium開發團隊將通過非盈利組織EEF(電子前線基金會)與Mozilla, Cisco,以及Akamai進行合作,為2015年之后接入互聯網的服務器提供HTTPS加密認證。
這并不是google第一次通過這種方式鼓勵更多的網站實現更為有效的HTTPS加密,早在幾個月前,google就曾試圖通過改變其搜索引擎的算法來輕微的提高已經進行HTTPS加密網站的排名。
“我們打算通過用戶代理供應商來逐步改變其用戶體驗,以此來展現HTTP是不安全的,并鼓勵更多的網站進行HTTPS加密。我們所有人都需要保證數據通信的安全,當我們的數據通信安全不能夠得到保證時,用戶代理供應商應該進行明確及時的提醒,以便用戶更好的做出決策。”
用戶在瀏覽網頁時總是在安全性和自由之間做出妥協,當我們談論安全時,它往往意味著我們在網站上的自由性會大大降低。
Chromium開發團隊還強調稱,當網站進行HTTPS加密后,在任何瀏覽器的用戶界面中,地址欄都會有顯示。這種顯示可以有效的保護用戶不受到站點偽造攻擊,例如中間人攻擊或者釣魚網站。
但是一般情況下瀏覽器并不會發出警告。只有當瀏覽器認為網站的來源為HTTP,用戶的安全性無法得到保證時才會發出警告。
分階段實現
研究小組人員建議瀏覽器重新定義三個基礎的傳輸層安全協議:
Secure (有效的HTTPS,以及其他類似的如(*, localhost, *))
Dubious (有效且無源的HTTPS,有效且包含小TLS錯誤的HTTPS)
Non-secure (破碎的HTTPS,HTTP)
說的更具體一點,google正鼓勵用戶代理供應商通過分階段的方式來實現產品在用戶需求和設計上的改變。
Google的這一新舉措將會使更多的網站選擇HTTPS的加密,因為通過加密,你的網站在google搜索引擎的排名就會越靠前,而這也意味著你的網站將會獲得更多的流量。公告上還稱,google將在2015年開始實施這一計劃。