来自谷歌官方博客的最新消息显示,谷歌 Chrome 将于今年七月份将所有的 HTTP 网站标记为“不安全”。
chrome
近年来,已经有越来越多的第三方服务开始推荐甚至是强制要求使用 HTTPS 连接方式,比如现在用得特别多的微信登录、微信支付、短信验证码、地图 API 等等,又比如苹果公司 2016 年在 WWDC 上宣称,公司希望官方应用商店中的所有 iOS App 都使用安全的 HTTPS 链接与服务器进行通信,并表示 2017 年 1 月 1 日起,苹果 App Store 中的所有 App 都必须启用 ATS 安全功能——虽然后续因为一些未知原因而暂缓了,但这也传递了一种信号:越来越多的第三方服务下,在不久的将来可能都会强制要求使用 HTTPS 协议,这只是时间问题而已。
那为什么越来越多的 HTTP 都在逐渐 HTTPS 化?HTTP 协议(超文本传输协议)是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议;HTTPS 协议可以理解为 HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
诚然,HTTP 具有高效便捷的优势,但也面临着窃听、篡改、冒充等传输风险,相比之下,HTTPS 协议增加了很多握手、加密解密等流程,虽然过程很复杂,但其可以保证数据传输的安全,所以在这个互联网快速迭代的时代下,HTTPS 越来越受追捧。
谷歌作为科技巨头之一,在这一方面也不例外。为了保证数据安全,谷歌很早就启用了 HTTPS 协议,并且近年来动作不断。2017 年 1 月,Chrome 56 就开始突出标记一些涉及密码、信用卡及其他敏感信息的不安全 HTTP 站点;2017 年 10 月,Chrome 62 又开始标记一些带有输入数据的 HTTP 页面和所有以无痕模式浏览的 HTTP 页面。
谷歌的这些措施也确实卓有成效,在谷歌和 Mac 生态系统中,Chrome 浏览器超过 78% 的流量都在使用 HTTPS;在 Android 和 Windows 生态系统中,Chrome 的 68% 流量也来自 HTTPS;此外,前 100 名的网站中有 81 个都在默认使用 HTTPS,绝大多数 Chrome 流量都已加密。
此次谷歌发布的最新博客消息,是其大力推行 HTTPS 的又一动作:计划在今年 7 月发布的 Chrome 68 版本上标记所有的 HTTP 页面,也就意味着谷歌将启用全站 HTTPS,并且计划在地址栏中显示如下内容:
Chrome 安全产品经理 Emily Schechter 在博客中同样还提到了,“根据网站已经转移到 HTTPS 的速度以及今年的强劲走势,我们认为 7 月份将足够让我们可以标记所有的 HTTP 站点”。
事实上,除去谷歌,其他一些互联网公司也进行了自己的 HTTPS 实现,比如当前国内炒的很火热的微信小程序也要求必须使用 HTTPS 协议;新一代 HTTP/2 协议的支持必须以 HTTPS 为基础等等。因此想必在不久的将来,全网 HTTPS 势在必行。
For the past several years, we’ve moved toward a more secure web by strongly advocating that sites adopt HTTPS encryption. And within the last year, we’ve also helped users understand that HTTP sites are not secure by graduallymarking a larger subset of HTTP pages as “not secure”. Beginning in July 2018 with the release of Chrome 68, Chrome will mark all HTTP sites as “not secure”.
In Chrome 68, the omnibox will display “Not secure” for all HTTP pages.
Developers have been transitioning their sites to HTTPS and making the web safer for everyone. Progress last year was incredible, and it’s continued since then:
Over 68% of Chrome traffic on both Android and Windows is now protected
Over 78% of Chrome traffic on both Chrome OS and Mac is now protected
81 of the top 100 sites on the web use HTTPS by default
Chrome is dedicated to making it as easy as possible to set up HTTPS. Mixed content audits are now available to help developers migrate their sites to HTTPS in the latest Node CLI version of Lighthouse, an automated tool for improving web pages. The new audit in Lighthouse helps developers find which resources a site loads using HTTP, and which of those are ready to be upgraded to HTTPS simply by changing the subresource reference to the HTTPS version.
Lighthouse is an automated developer tool for improving web pages.
Chrome’s new interface will help users understand that all HTTP sites are not secure, and continue to move the web towards a secure HTTPS web by default. HTTPS is easier and cheaper than ever before, and it unlocks both performance improvements and powerful new features that are too sensitive for HTTP. Developers, check out our set-up guides to get started.
Posted by Emily Schechter, Chrome Security Product Manage
Starting in July, Google Chrome will mark all HTTP sites as “not secure,” according to a blog post published today by Chrome security product manager Emily Schechter. Chrome currently displays a neutral information icon, but starting with version 68, the browser will warn users with an extra notification in the address bar. Chrome currently marks HTTPS-encrypted sites with a green lock icon and “Secure” sign.
Google has been nudging users away from unencrypted sites for years, but this is the most forceful nudge yet. Google search began down-ranking unencrypted sites in 2015, and the following year, the Chrome team instituted a similar warning for unencrypted password fields.
The Chrome team said today’s announcement was mostly brought on by increased HTTPS adoption. Eighty-one of the top 100 sites on the web default to HTTPS, and a strong majority of Chrome traffic is already encrypted. “Based on the awesome rate that sites have been migrating to HTTPS and the strong trajectory through this year,” Schechter said, “we think that in July the balance will be tipped enough so that we can mark all HTTP sites.”
从七月开始,谷歌浏览器将所有的HTTP网站标记为“不安全的,”根据今天发表的一篇博客文章通过Chrome安全产品经理Emily Schechter。Chrome当前显示一个中立的信息图标,但从版本68开始,浏览器将在地址栏中向用户发出额外通知。Chrome当前标记带有绿色锁定图标和“安全”标志的HTTPS加密站点。
谷歌已经把用户从加密的网站多年,但这是最有力的推动还。谷歌搜索开始了2015位加密的网站,并在接下来的一年中,Chrome团队建立加密的密码字段类似的警告。
Chrome团队说,今天的公告主要是由于增加了HTTPS的采用。Web 100大站点中有八十一个默认为HTTPS,绝大多数Chrome流量已经加密。“以惊人的速度,网站已迁移到HTTPS通过今年强劲的轨迹,”谢克特说,“我们认为在七月的余额将将足以使我们可以标记所有HTTP网站。”
Chrome地址栏中计划的更改
Chrome地址栏中计划的更改。
HTTPS加密保护你的浏览器和你访问的网站之间的通道,确保中间没有人可以篡改流量或监视你在做什么。没有加密,有人访问你的路由器或ISP可以拦截信息发送到网站或注入恶意软件到其他合法的网页。
HTTPS也变得更容易实现通过自动服务,如让我们加密,给网站甚至更少的借口,不采取它。作为同一篇文章的一部分,谷歌指出了自己的灯塔工具,其中包括将网站迁移到HTTPS的工具。
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
一、HTTP和HTTPS的基本概念
HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
二、HTTP与HTTPS有什么区别?
HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的区别主要如下:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
三、HTTPS的工作原理
我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤,如图所示。
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
四、HTTPS的优点
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:
(1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。
五、HTTPS的缺点
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。