Chrome68将所有HTTP网站标记为不安全!你的网站HTTPS了吗?

为了使网络更加安全,让更多的互联网用户使用其 Chrome 浏览器,Google 宣布,未来的 Chrome 版本将把所有的 HTTP 网站标记为“不安全(non-secure)”。

Chrome68将所有HTTP网站标记为不安全

Chrome68将所有HTTP网站标记为不安全

Chrome68在7月将自动标记HTTP为不安全

该搜索巨头在 Chromium 博客上发表声明,并通知所有 Chrome 用户,今年晚些时候推出的 Google Chrome 68 版本将自动将所有 HTTP 站点标记为“不安全”。

Google 试图让更多的网站和网站管理员将他们的域名转移到更安全的 HTTPS 协议,现已知 HTTPS 提供最好的加密服务。

谷歌在声明中表示:“过去几年来,我们已经大力宣传网站采用HTTPS加密,让他们向更安全的网络迈进。"Chrome 将在 2018 年 7 月发布 Chrome 68,并将所有的 HTTP 站点标记为“不安全”。

一年前,谷歌在其专有网页浏览器中引入了一项新功能,将收集用户敏感信息的HTTP网页标记为非安全,并将Chrome 56发行版作为长期计划版本。

谷歌表示,超过 68% 的 Chrome 流量现在受到保护,在声明中,谷歌还展示了自推出 HTTP 网站的“非安全”功能以来所取得的进展,现在超过68%的Chrome流量受到Windows和Android平台的保护。

另外,根据 Google 的统计数据,目前有超过 78% 的 Chrome 流量受到 macOS 和 Chrome 操作系统平台的保护,互联网前 100 名站点中有 81 个默认使用 HTTPS 协议。

为了迎接Chrome 68的到来,Google在网页自动改善工具 Lighthouse 中嵌入了混合内容(mixed content)机制,过去,当一个 HTTPS 网站请求了来自 HTTP 的不安全资源时,就会出现所谓的混合内容错误,因为浏览器只为了封锁了其中的不安全资源,反而让导致网站无法正确呈现。

因此新的混合内容机制将协助开发人员找到网站以 HTTP 载入时所使用的资源,以及当中有哪些资源只要稍微变更参数就能直接升级到 HTTPS 版本。

要使用该机制必须先安装开发版的 Chrome Canary,且它并非为 Lighthouse 预设值,由 Lighthouse 命令工具来执行它。

现在,距离这个时间点已经很近了,越来越多的用户也开始上全站HTTPS,你的网站开启HTTPS了吗?

什么是HTTPS?

HTTPS里面的“S”代表“Security”,安全的HTTP。大家都知道HTTP是一个超文本传输协议,它的优点是简单、快速、灵活,它的缺点就是不安全,直接运行在TCP层之上,数据在网络上的传输是明文的,就可以被抓包并看到传输的内容,存在非常大的安全隐患。

互联网发展越来越快,网络也越来越发达与复杂,在一些利益的驱动下,一些恶意的运营商经常对用户的HTTP请求做劫持和篡改,如果一个网站现在还在用HTTP为用户提供服务,那一定会经常遇到网站被插入广告、泄露数据等问题。

解决以上问题,我们就需要加密传输,这里有两种方法,一种方法是在HTTP的业务层做加密,这样做会非常地耦合,不通用。另一种就是用HTTPS,从网络模型上看就是在TCP层和HTTP层去做一层SSL层,由这一层来为HTTP层做数据的加解密服务:将HTTP层要发送的数据加密之后通过TCP来发送给对方,将接收到的加密数据解密之后交给HTTP,HTTP层不需关注加密和解密的细节而只需关注业务即可,这样对应用层来说是透明的,也便于客户端和服务器的实现和升级。

为什么依然有用户不使用HTTPS?

通常,用户的担忧来自于以下几个方面:
证书:不知道证书是什么东西,怎么去申请,去哪里申请,证书的费用,证书到期续签,私钥的安全管理等等问题。
性能:担心上了HTTPS性能会变差,服务器扛不住压力,客户端要做SSL握手,影响性能。
体验:因为要做SSL握手,需要握手时间,担心增加首包时间,影响用户体验。
难度:因为HTTPS需要SSL握手,SSL握手非常复杂,不像TCP那么简单,涉及到一套密码学的东西,比较有难度。而且是加密通信,出了问题不好排查,不像HTTP那样抓个包就能看出里面是什么东西。

以上的种种原因导致用户对于HTTPS还是有一点恐惧的,但是实际上阿里云CDN HTTPS可以解决用户对证书、性能、体验和难度等等担忧的问题。通过便捷接入的证书(CDN HTTPS一键免费证书)、HTTP/2性能优化、session复用性能优化、监控告警与秒级配置等等能力,解决以上令用户困扰的问题,帮助用户毫无顾虑的进入HTTPS时代。