HTTP 網站在 Chrome 瀏覽器的死期將近：統統被標記為不安全

在不到三周時間裡，HTTP網站就將會被chrome標記為不安全網站，訪問未加密網站的谷歌 Chrome 用戶將收到安全警告信息。

Chrome 68 穩定版更新將於7月23日上線，之後未運行 HTTPS 協議但具有有效 TLS 證書的網頁將在 Chrome 地址欄中展示「不安全」的警告信息。該警告信息將應用於通過 Chrome 訪問的面向互聯網的網站和企業/私有內部網站，而這兩種網站佔據60%的瀏覽器市場。

SSL 證書公司 DigiCert 周二發布研究結果稱，43%的 Alexa 前一百萬網站默認使用 HTTPS 協議，而6月份 W3Techs 的調查結果顯示，對於 Alex 前一千萬站點而言，35.6% 的網站默認使用 HTTPS 協議。很多小型或者訪問量低的網站仍然使用 HTTP 協議。

安全研究員 Scott Helme 使用 web 爬蟲收集前一百萬個站點的日常數據，他提倡全部使用 HTTPS 協議並就該主題在多個安全會議上發表演講。Helme 指出，Chrome 在7月份的更新是確保 web 安全的重大里程碑。之前雖然都在推進加密 web 但收效甚微。他對 Chrome 的這次改變表示歡迎，認為站點的安全狀況將更加顯而易見。他指出，繼 HTTP 網站被標記為「不安全」後，HTTPS 指標也會得到簡化，二者相輔相成。隨著 HTTPS 越來越多地成為默認選項後，瀏覽器僅需在特殊情況發生時才告知用戶，這種特殊情況是指連接不安全，前提是加密通訊成為預期結果而非例外。

HTTPS 站點一定安全嗎？

但安全顧問 Paul Moore 指出，即使是 HTTPS 站點也可能存在多個漏洞。他認為只是因為網站部署了 TLS 就認為它是安全的還不夠，而且顯然也並非谷歌本意。然而，公眾不可能理解這其中的區別，而且可能會認為整個網站就是安全的，實際上它只是說明連接是安全的。

Chrome 更新旨在促使數百萬 HTTP 站點使用 HTTPS 協議。Web 已在這個方向取得了很大的進展，但仍然還有很多事情要做。DigiCert 首席產品官 Jeremy Rowley 督促 IT 管理員檢查自己管理的網站並部署相應的 TLS 證書。他指出，在一些情況下，管理員可能認為並非所有的網頁都需要證書，但不正確的配置和部署將觸發 Chrome 安全警告。

Ipsos 公司在今年初開展的研究表明，大量（87%）的互聯網用戶在看到網頁上的瀏覽器警告信息後選擇不完成交易。超過一半（58%）的受訪者表示將選擇競爭者網站完成購買。《通用數據保護條例》生效後，歐洲互聯網用戶將在多個網站看到隱私更新通知，這可能是律師斡旋的結果也可能是該條例的副作用。目前尚不知曉它是否會對瀏覽器響應產生任何影響。

儘管 Chrome 是首個在非 HTTPS 網站上部署此類可見警告系統的瀏覽器，但微軟、蘋果和 Mozilla 也可能跟進。Rowley 補充道，「HTTP 2.0 要求主流瀏覽器部署 TLS 加密。隨著主流瀏覽器遷移至更新的技術，網站部署證書也變得越來越重要。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！