地址栏默认HTTPS?Chrome 90新功能即将全面开启……
2021-03-09 16:56:29 Author: www.secpulse.com(查看原文) 阅读量:262 收藏

目前全球范围内越来越多的网站已经使用 HTTPS 网址前缀,为用户带来更好的安全性,不容易被截获明文登陆的账号密码。过去几年间,Firefox、Chrome 等浏览器一直在倡导HTTPS 的加密普及。尽管目前全球82%的网站都已使用HTTPS,但是依旧有很多网站没有进行更新。

Chrome 90地址栏将默认使用HTTPS连接

继2020年11月Firefox 83版本引入仅HTTPS浏览模式后,如今Google Chrome又迈出了重要一步。

据ZDNet消息,在计划于今年4月推出的Google Chrome 90版本中,浏览器即将增添新功能,用户输入网址 URL 时如果不加上 “http://”等前缀,浏览器会默认添加 “https://”。Chrome 90版本中,将通过更安全的HTTPS协议自动加载所有不完整的URL,这项新功能将迫使更多网站采用HTTPS加密,从而提高用户在线隐私和安全性。

image.png

(据谷歌安全工程师的说法,该功能可以在 Chrome 89 版本浏览器的高级设置中看到,用户可以通过启用chrome:// flags /#omnibox-default-typed-navigations-to-https来激活这项功能。)

Chrome上的HTTPS

在浏览器方面,Google Chrome已突破70%以上的全球市场份额,继续稳坐霸主地位。

长期以来,Google一直是HTTPS的拥护者,为了营造安全的网络环境,Google多年来投入大量人力物力来确保网站和服务均默认提供HTTPS,并且已经建立了许多机制来加速向新安全协议的过渡,其目标是所有 Google产品和服务中实现 100% 加密。

截止2021年2月14日,Google Chrome安全团队发布了最新的统计数据,数据显示所有Google产品和服务中,采用HTTPS加密连接占比已达95%。(见下图)

借助即将发布的Chrome 90版本,浏览器将始终尝试连接到HTTPS链接,以响应不完整的URL查询,避免用户可能会意外登陆到不安全的HTTP网页。

image.png


为什么HTTPS是每个网站的必选项?

HTTP是互联网上应用最为广泛的一种网络协议,可以在Web浏览器和网站服务器之间传递信息。但是HTTP明文协议是不安全的传输协议,无法进行服务器端真实身份校验,也不能为传输数据提供加密保护,通过HTTP协议传输的数据时刻处在被窃听、篡改、冒充的风险中,对隐私信息来说有着巨大安全隐患。

早在1994年,Netscape网景公司便针对网络身份验证这一需求开发了一种网络安全协议,即安全套接字层(SSL,Secure Socket Layer)协议。

image.png

而HTTPS(超文本加密传输协议)就是由SSL(安全套接字层协议)+HTTP(超文本传输协议)构建而成,是一种可进行加密传输、身份认证的网络协议,为浏览器和服务器之间的通信进行加密,确保数据传输到正确的服务器端,防止中间人窃取传输数据。

HTTPS的安全基础是SSL协议,通过SSL证书来验证服务器的身份,为浏览器和服务器之间的通信加密以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。因此,SSL证书已经成为了众多网站的安全标配。

应对Chrome 90,你准备好了吗?

你的网站是否已升级到HTTPS?你的HTTPS网站是否存在不安全(外链)问题?Chrome 90版本的重大更新将默认地址栏使用HTTPS连接是否对你的网站有影响?


安全策略

① 确保数据传输不再裸奔,建议网站部署SSL/TLS证书升级到HTTPS,应选择全球可信的SSL证书。

② 排查部署的HTTPS网站是否真正安全,可借助全自动化HTTPS闭环管理系统,一键扫描SSL证书的漏洞和弱配置,避免产生安全问题。

③ 建议网站进行全站HTTPS加密。如担心消耗较多的云端服务器 CPU资源增加延时以及复杂的HTTPS部署操作,可选择全站HTTPS加速的性能优化解决方案。

本文作者:TrustAsia亚洲诚信

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/154501.html


文章来源: https://www.secpulse.com/archives/154501.html
如有侵权请联系:admin#unsafe.sh