聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
用不了三周,访问未加密网站的谷歌Chrome用户将收到安全警告信息。
Chrome 68 稳定版更新将于7月23日上线,之后未运行 HTTPS 协议但具有有效 TLS 证书的网页将在 Chrome 地址栏中展示“不安全”的警告信息。该警告信息将应用于通过 Chrome 访问的面向互联网的网站和企业/私有内部网站,而这两种网站占据60%的浏览器市场。
SSL 证书公司 DigiCert 周二发布研究结果称,43%的 Alexa 前一百万网站默认使用 HTTPS 协议,而6月份 W3Techs 的调查结果显示,对于 Alex 前一千万站点而言,35.6% 的网站默认使用 HTTPS 协议。很多小型或者访问量低的网站仍然使用 HTTP 协议。
安全研究员 Scott Helme 使用 web 爬虫收集前一百万个站点的日常数据,他提倡全部使用 HTTPS 协议并就该主题在多个安全会议上发表演讲。Helme 指出,Chrome 在7月份的更新是确保 web 安全的重大里程碑。之前虽然都在推进加密 web 但收效甚微。他对 Chrome 的这次改变表示欢迎,认为站点的安全状况将更加显而易见。他指出,继 HTTP 网站被标记为“不安全”后,HTTPS 指标也会得到简化,二者相辅相成。随着 HTTPS 越来越多地成为默认选项后,浏览器仅需在特殊情况发生时才告知用户,这种特殊情况是指连接不安全,前提是加密通讯成为预期结果而非例外。
HTTPS 站点一定安全吗?
但安全顾问 Paul Moore 指出,即使是 HTTPS 站点也可能存在多个漏洞。他认为只是因为网站部署了 TLS 就认为它是安全的还不够,而且显然也并非谷歌本意。然而,公众不可能理解这其中的区别,而且可能会认为整个网站就是安全的,实际上它只是说明连接是安全的。
Chrome 更新旨在促使数百万 HTTP 站点使用 HTTPS 协议。Web 已在这个方向取得了很大的进展,但仍然还有很多事情要做。DigiCert 首席产品官 Jeremy Rowley 督促 IT 管理员检查自己管理的网站并部署相应的 TLS 证书。他指出,在一些情况下,管理员可能认为并非所有的网页都需要证书,但不正确的配置和部署将触发 Chrome 安全警告。
Ipsos 公司在今年初开展的研究表明,大量(87%)的互联网用户在看到网页上的浏览器警告信息后选择不完成交易。超过一半(58%)的受访者表示将选择竞争者网站完成购买。《通用数据保护条例》生效后,欧洲互联网用户将在多个网站看到隐私更新通知,这可能是律师斡旋的结果也可能是该条例的副作用。目前尚不知晓它是否会对浏览器响应产生任何影响。
尽管 Chrome 是首个在非 HTTPS 网站上部署此类可见警告系统的浏览器,但微软、苹果和 Mozilla 也可能跟进。Rowley 补充道,“HTTP 2.0 要求主流浏览器部署 TLS 加密。随着主流浏览器迁移至更新的技术,网站部署证书也变得越来越重要。”
https://www.theregister.co.uk/2018/07/03/google_chrome_http/
领取专属 10元无门槛券
私享最新 技术干货