|
|
|
联系客服020-83701501

各大浏览器继续推动无处不在的HTTPS

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  谷歌Chrome和Mozilla Firefox正在更新向用户显示SSL/HTTPS网站的方式,并继续致力于将所有互联网流量转移到HTTPS。谷歌和Mozilla最近分别宣布了在Chrome和Firefox中显示HTTPS网站方式的几项改变。这些变化大多是浏览器讨论了几年的推动因素的一部分,鼓励所有网站从HTTP迁移到HTTPS。

各大浏览器继续推动无处不在的HTTPS

  以下是对浏览器中六个值得注意的变化以及网站管理员和互联网用户需要了解的内容的快速概述。

  1. Chrome强制执行HTTPS或阻止“混合内容”

  多年来,“混合内容”一直是全世界网络开发者的一个祸根。在将网站切换到HTTPS后,图像、脚本或其他文件通常仍然通过HTTP加载,这将在用户浏览器中触发“混合内容”安全错误,如下所示:

  正如谷歌所说:“HTTPS的页面经常会遇到一个叫做混合内容的问题,页面上的子资源是通过http://加载的,不安全。默认情况下,浏览器会阻止各种类型的混合内容,如脚本和iframe,但仍然允许加载图像、音频和视频,这威胁到用户的隐私和安全。例如,攻击者可能篡改股票图表的混合图像来误导投资者,或者将跟踪cookie注入混合资源负载中。加载混合内容也会导致浏览器安全UX的混乱。这一页既不安全也不不安全,但介于两者之间。"

  从Chrome版本79(计划于2019年12月发布)开始,谷歌将逐步实施一项计划,改变混合内容的处理方式:

  版本79:用户将能够手动阻止或取消阻止混合内容。

  版本80:混合音频和视频将自动升级到HTTPS,如果不能通过HTTPS访问将被阻止。将加载混合图像,但地址栏中将显示“不安全”警告。

  版本81:混合图像将自动升级到HTTPS。如果他们不能通过HTTPS加载,将被阻止。最终,这不会改变网站管理员的工作方式,确保所有资源(包括图像、视频和音频)100%的时间都通过HTTPS加载。

  2.火狐将所有的HTTP URL标记为不安全

  追随Chrome的脚步,火狐现在将所有的HTTP网页标记为“不安全”。在过去的几年里,火狐已经开始警告用户HTTP页面是否包含登录名或其他形式,但是现在火狐将在所有的HTTP页面上显示警告。

  从火狐70(计划于10月发布)开始,用户将在所有的HTTP页面上看到以下警告:

  如果您单击挂锁,您将看到以下消息:

  在此,您可以单击查看更多详细信息以查看此信息:

  3.Firefox开始过渡到HTTPS上的DNS

  从9月份开始,火狐将逐步推出。默认情况下,用户将切换到使用基于HTTPS的DNS(DoH)。如果他们的计划如期进行,他们将在2020年转换所有美国用户。

  去年,火狐解释了为什么他们开始转向DoH:“由于没有加密,沿途的其他设备可能会收集(甚至阻止或改变)DNS数据。DNS查找被发送到可以监视您的网站浏览历史的服务器,而无需通知您或发布关于如何处理该信息的信息.

  我们升级DNS隐私的第一项工作是实施HTTP over HTTPS(DoH)协议,该协议对DNS的请求和响应进行加密。然而,这一决定并非没有争议,因为一些网络安全专家认为,卫生部会造成更多的问题,而不是解决它们。

  默认情况下,火狐的DoH使用CloudFlare的DNS服务,但是用户可以根据需要切换到备用服务。

  4.谷歌通过HTTPS测试DNS

  从Chrome版本78(计划于10月发布)开始,谷歌将开始为一些DNS服务器测试DoH:

  “这项实验将与已经支持DoH的DNS提供商合作完成。它的目标是通过将他们升级到当前DNS服务的DoH版本来提高我们的安全性和隐私性。通过我们的方法,使用的DNS服务不会改变,只有协议会改变.该实验的目的是验证我们的实施并评估性能影响。”

  尽管谷歌在推出DoH方面落后于火狐,但Chrome似乎有可能在2020年将其推广到大多数/所有用户。

  5.网站中的Chrome隐藏协议(http://或https://)

  谷歌最近改变了地址栏中显示网址的方式,即从网址的开头隐藏http://或https://网址。乍一看,这种变化听起来像Chrome降低了HTTPS的重要性,但事实恰恰相反。这一改变是谷歌努力使HTTPS成为整个网络默认协议的一部分。

  研究表明,积极指标在网络安全中很有价值,但用户更关注消极指标。这就是为什么谷歌已经实施了一项计划,将HTTPS设为默认设置,并显示一个HTTP URL警告。这一变化只是计划的下一步:HTTPS是正常的(所以它没有显示为正常),但HTTP将触发一个错误。

  HTTPS网页现在显示如下:

  HTTP页面如下所示:

  6.Chrome和Firefox EV的显示更改

  与前五项更改不同,这一更改不是将更多站点切换到HTTPS,而是更改具有EV SSL证书的站点的显示。Chrome和Firefox正在将EV显示(已验证的公司名称)从地址栏移动到证书详细信息显示。现在,用户可以通过点击挂锁查看EV公司的详细信息,如下所示:

  他们还可以单击查看其他证书详细信息,如下所示:

  可以想象,这款EV显示器有点像一本护照:我们不会随身携带,但我们随时都需要认证。如果用户对网站不确定,他们可以快速查看EV的详细信息,以了解哪些法人拥有和运营网站。

  除了允许客户在不确定网站时随时进行检查之外,其他实体还使用EV证书详细信息进行身份验证:

  防病毒软件使用EV证书详细信息来区分信誉良好的网站和网络钓鱼网站。

  政府(尤其是在欧洲)越来越多地要求在线交易的公司通过EV SSL证书和/或LEI提供认证身份信息。

  浏览器应使经过验证的身份信息(如EV的详细信息)更加突出,而不是减少。除非实施更好的解决方案,否则EV SSL仍然是用户验证运营网站的合法实体的最佳解决方案。

  随着网络犯罪的激增,监管者越来越希望公司在网上提供经过验证的身份,EV SSL(和类似工具)将在未来几年成为互联网的重要组成部分。逐步将更多的用户和网站转移到HTTPS,这对用户、网站所有者和互联网都有好处。

数安新闻+更多

证书相关+更多