目前全球范围内越来越多的网站已经使用 HTTPS 网址前缀,为用户带来更好的安全性,不容易被截获明文登陆的账号密码。过去几年间,Firefox、Chrome 等浏览器一直在倡导HTTPS 的加密普及。尽管目前全球82%的网站都已使用HTTPS,但是依旧有很多网站没有进行更新。
Chrome 90地址栏将默认使用HTTPS连接
继2020年11月Firefox 83版本引入仅HTTPS浏览模式后,如今Google Chrome又迈出了重要一步。
据ZDNet消息,在计划于今年4月推出的Google Chrome 90版本中,浏览器即将增添新功能,用户输入网址 URL 时如果不加上 “http://”等前缀,浏览器会默认添加 “https://”。Chrome 90版本中,将通过更安全的HTTPS协议自动加载所有不完整的URL,这项新功能将迫使更多网站采用HTTPS加密,从而提高用户在线隐私和安全性。
(据谷歌安全工程师的说法,该功能可以在 Chrome 89 版本浏览器的高级设置中看到,用户可以通过启用chrome:// flags /#omnibox-default-typed-navigations-to-https来激活这项功能。)
Chrome上的HTTPS
在浏览器方面,Google Chrome已突破70%以上的全球市场份额,继续稳坐霸主地位。
长期以来,Google一直是HTTPS的拥护者,为了营造安全的网络环境,Google多年来投入大量人力物力来确保网站和服务均默认提供HTTPS,并且已经建立了许多机制来加速向新安全协议的过渡,其目标是所有 Google产品和服务中实现 100% 加密。
截止2021年2月14日,Google Chrome安全团队发布了最新的统计数据,数据显示所有Google产品和服务中,采用HTTPS加密连接占比已达95%。(见下图)
借助即将发布的Chrome 90版本,浏览器将始终尝试连接到HTTPS链接,以响应不完整的URL查询,避免用户可能会意外登陆到不安全的HTTP网页。
为什么HTTPS是每个网站的必选项?
HTTP是互联网上应用最为广泛的一种网络协议,可以在Web浏览器和网站服务器之间传递信息。但是HTTP明文协议是不安全的传输协议,无法进行服务器端真实shenfen校验,也不能为传输数据提供加密保护,通过HTTP协议传输的数据时刻处在被窃听、篡改、冒充的风险中,对隐私信息来说有着巨大安全隐患。
早在1994年,Netscape网景公司便针对网络身份验证这一需求开发了一种网络安全协议,即安全套接字层(SSL,Secure Socket Layer)协议。
而HTTPS(超文本加密传输协议)就是由SSL(安全套接字层协议)+HTTP(超文本传输协议)构建而成,是一种可进行加密传输、身份认证的网络协议,为浏览器和服务器之间的通信进行加密,确保数据传输到正确的服务器端,防止中间人窃取传输数据。
HTTPS的安全基础是SSL协议,通过SSL证书来验证服务器的身份,为浏览器和服务器之间的通信加密以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。因此,SSL证书已经成为了众多网站的安全标配。
应对Chrome 90,您准备好了吗?
您的网站是否已升级到HTTPS?您的HTTPS网站是否存在不安全(外链)问题?Chrome 90版本的重大更新将默认地址栏使用HTTPS连接是否对您的网站有影响?
安全策略
① 确保数据传输不再裸奔,建议网站部署SSL/TLS证书升级到HTTPS,应选择全球可信的SSL证书(TrustAsia、DigiCert、CFCA品牌等)。
② 排查部署的HTTPS网站是否真正安全,可借助CertCloud | 全自动化HTTPS闭环管理系统,一键扫描SSL证书的漏洞和弱配置,避免产生安全问题。
③ 建议网站进行全站HTTPS加密。无需担心消耗较多的云端服务器 CPU资源增加延时以及复杂的HTTPS部署操作。亚洲诚信提供全站HTTPS加速的性能优化一对一定制解决方案。欢迎访问官网在线咨询www.trustasia.com或致电400-880-8600。
来源:freebuf.com 2021-03-09 14:27:33 by: trustasia
请登录后发表评论
注册