编者注:全站HTTPS时代的已经到来,在电子商务、互联网金融、银行及政府机构、保险证券、医疗机构、系统与软件开发商等领域,深受业界的持续关注和广泛认可。
9 月 5 日,谷歌Chrome浏览器最歌新版(69)已经正式面向Mac,Windows和Linux推出。
7 月 24 日,Chrome68 在安全方面再创里程碑,即所有没有采用HTTPS协议的网站都会在地址栏上明确标记为“Not Secure”(不安全)。
而今天,Chrome69 的发布,宣布移除“Secure”标识,不会再特地将HTTPS网站标记为“安全”,而是改在采用HTTP标准协议的网站旁标注“不安全”。这么做的目的是让用户了解不安全的网站,从而进一步推进全网加密。
Chrome 浏览器已经堪比小型杀毒软件
早在今年年初,谷歌爸爸就在其博文中表明:
自从我们在Chrome中引入安全标识,网络上的HTTPS使用情况变得十分显著。既然那么顺,我们决定顺水推舟移除这个标识。因为用户的体验应当建立于网络默认情况下是安全的,而在出现问题时才会被警告。鉴于我们马上要着手标记所有HTTP网页为“不安全”,我们将逐步移除Chrome的积极安全标识,以便默认未被标记的网站才是安全的。这个计划预计从今年 9 月的Chrome69 开始执行。
尽管Chrome的“安全”标识UI总被人津津乐道,但也存在着很多弊端。毕竟这年头霸屏使用的HTTPS的网站里,有很多是钓鱼网站。明明是钓鱼网站,却偏偏因为用了HTTPS而被标记成了安全,显然是不合理的。
此前,由于 HTTP 使用率过高,为所有 HTTP 网页加红色警告标识很难实现。然而随着Chrome70 即将在 10 月份发布,当用户输入数据时,HTTP 站点将显示一个红色的“不安全”警告。
Chrome 70 针对含用户输入的HTTP 网页的处理
为了营造安全的上网环境,Google一直在努力。毫不浮夸地讲,对于 HTTPS的全面普及,Google 绝对是头号功臣。在很长一段时间里,谷歌和Mozilla等公司,一直在推动HTTPS普及,以解决HTTP中的缺陷和安全问题。
下图是Chrome浏览器加载HTTPS网站的增长趋势,最上面这条线是美国,从 2015 年的不到50%,目前已经超过80%,最下面这条是日本,2015- 2016 年比较平稳的维持在25%左右,目前已经超过60%。从网络公开数据估算,国内HTTPS的加载占比在40% 左右,可以预见到未来一两年,会有越来越多的国内网站将切换到HTTPS。
总体上看,这样的新规定做到了默认安全,而强化不安全的效果,让用户在思维上有一个大转变。这么做的原因是,谷歌认为“用户应该默认 Web 是安全的,Chrome 应该只会在网页有问题时才发出警告”,同时这也是谷歌“HTTPS 100%”计划的一部分,最终目的是让加载到 Chrome 中页面都通过 HTTPS 协议。
来源:网络