谷歌于 2 月 9 日宣布, 从今年 7 月起, Chrome 浏览器的地址栏将把所有 HTTP 标示为不安全网站, 这将是 Chrome 浏览器围剿 HTTP 网站的第三步在 URL 地址栏中将所有 HTTP 站点标记为不安全的决定是谷歌安全战略的一部分
在第一阶段推出 Chrome 56 时, 谷歌就宣布如果页面包含密码或支付卡字段, 则会将所有 HTTP 页面标记为不安全第二个阶段即推出 Chrome 62 时, 谷歌将所有以私密浏览窗口中打开的所有 HTTP 页面标记为不安全在 2018 年 7 月发布的 Chrome 68 将成为安全战略的最后一个阶段
事实上 Google 很早就已经开始进行大力推广 HTTPS, 但当时响应支持的并不是很多这主要是因为迁移至 HTTPS 比较困难存在一定的技术门槛, 而且成本也比较高昂; 其次就是当时没有任何行业在推动这项变革
在 Google 的努力下, 目前 Chrome 上 68% 的流量都是得到保护的, 自 Top 100 网站中已经有 81 家网站默认使用 HTTPS
谷歌在声明中表示:
过去几年来, 我们已经通过大力宣传网站采用 HTTPS 加密, 向更安全的网络迈进 Chrome 将在 2018 年 7 月发布 Chrome 68, 将所有的 HTTP 站点标记为不安全
谷歌并非将 HTTP 站点标记为不安全的唯一厂商, Mozilla 在 2017 年 12 月时就开启了这一趋势, 当时工程师也开始为火狐浏览器做出的同样举措开展了铺垫工作
不过和谷歌不同的是, Mozilla 基金会在计划激活这一新策略时并未宣布最后期限 Mozilla 和谷歌一样也是在 HTTPS 协议的使用越来越多时转向 HTTP 默认不安全的策略
截至 2017 年年末, HTTPS 方面的进展非常显着, 已经有 81% 的网站页面采用了 HTTPS 加密, 在 Mac 生态系统中, Chrome 浏览器超过 78% 的流量都在使用 HTTPS 而在 Android 和 Windows 系统中, Chrome 的 68% 流量来自 HTTPS
尚未成功将其网站迁移到更安全的 HTTPS 协议的开发人员可以使用最新的 Node CLI 版本 LighthouseLighthouse 是一种自动化的网站性能评测工具, 可提供内容审查功能来帮助开发者转移至 HTTPS 网站这一新工具会向开发者显示哪些网站来源在使用 HTTP, 哪些网站仅仅通过改变子资源参考就可以升级到 HTTPS 版本
不幸的是, HTTPS 将成为所有网站的标准, 还需要几年的时间, 但 Google 承诺尽一切努力使网站管理员和开发人员的采用变得轻而易举, 并让 Chrome 用户了解所有的 HTTP 站点都不安全
今年 7 月发布的 Chrome 68 会在地址栏中这样显示:
对于这一变化, 谷歌是这样说明的:
Chrome 新界面将帮助用户了解所有的 HTTP 网站都是不安全的, 从而采用安全的 HTTPS 网站 HTTPS 比以往任何时候都更便利更便宜, 它带来了性能提升和强大的新功能, 这些都是 HTTP 所没有的
Chrome 目前以黑色字体标示不安全字样, 最终谷歌会把不安全标为红色, 并在旁边添加表示警告的红图标, 为的是进一步强调 HTTP 网站不应被信任
来源: http://jaq.alibaba.com/community/art/show?articleid=1494