Google Chrome下周更新,将标记HTTP网站不安全
发布日期:2018-07-19迫在眉睫的截止日期——7月底Chrome新版本更新 ——意味着访问HTTP网站的谷歌浏览器用户将面临不安全警告。
一旦Chrome 68稳定更新于7月23日上线,这些变化将影响访问者。此后任何未使用有效TLS证书运行HTTPS的网页,都会在Chrome地址栏中显示“不安全”警告。该警告将适用于通过Chrome访问的面向互联网的网站和企业/私人内部站点,Chrome浏览器占据了约60%的市场份额。
HTTP不安全,Alexa百万网站默认HTTPS加密达43%
SSL证书公司DigiCert周二发布研究报告称,默认情况下,有43%的Alexa百万网站使用HTTPS,而W3Techs六月调查显示,HTTPS是前1000万网站中35.6%的默认协议。许多规模较小且访问量较少的网站仍可能依赖HTTP。
安全研究员Scott Helme利用网络抓取工具收集前百万个网站上的每日数据。他是HTTPS无处不在的倡导者,并在几个有关该主题的会议上发言。
“7月谷歌Chrome的更新是确保网络使用更安全的重要里程碑,”Helme告诉El Reg。 “我们多年来一直在快速推进加密网络,但在过去的两年中取得了惊人的进步。我一直在跟踪网络上HTTPS的加速采用率,其他独立研究也证实这确实是事实。”
Helme表示,他欢迎最新Chrome版本在本月底发布的变化,因为网站的安全状态将更加明显。如果网站没有HTTPS,访问者将看到直观的警告,不用被迫通过点击挂锁检查网站是否安全。
Helme说:“将HTTP标记为'不安全'的举措也正在遵循简化HTTPS指标的计划,这两种方法齐头并进。” “随着HTTPS变得越来越默认,保持'安全'指示符存在是没有意义的,浏览器应该只有在值得注意的事情发生时告诉我们。未来值得注意的事情是连接变得不安全,而不是它变得安全,证明加密通信已成为期望而不是例外。“
HTTP不安全,HTTPS加密用于保护连接安全
安全顾问Paul Moore添加了一个警告,指出即使HTTPS站点也可能存在漏洞。
“我仍然担心网站是'安全的'只是因为他们部署了TLS。这显然不是谷歌的建议......但是,目标人群(普通大众)不太可能理解这种差异并且可能会使用‘安全’作为描述整个网站的总称,而不是连接本身。”
Chrome更新旨在刺激数百万仍在使用HTTP的网站采用HTTPS。网络在这个方向上已经取得了很大进展,但仍有待完成的工作。 “许多网站需要赶上以避免'不安全'的警告,”DigiCert首席产品官Jeremy Rowley说道。 “我们敦促IT管理员检查他们所关注的网站并部署相应的TLS证书。
“在某些情况下,管理员可能认为他们不需要在所有页面上使用证书,但错误的配置和部署仍会导致Chrome内的警告。”
Ipsos今年早些时候的研究发现,绝大多数(87%)互联网用户如果在网页上看到浏览器警告,将无法完成交易。超过一半(58%)的受访者表示他们会去竞争对手的网站完成购买。欧洲访问者在多个站点面临隐私更新通知,作为律师介导的,可能是引入GDPR的副作用。这是否会对浏览器警告的响应产生任何影响尚不清楚。
虽然Chrome是第一个在非HTTPS网站上部署这种可见警告系统的浏览器,但微软,Apple和Mozilla可能会效仿。 Rowley补充说:“HTTP 2.0在主流浏览器中需要TLS加密。随着主要浏览器迁移到更新的技术,网站将发现SSL/TLS证书部署变得越来越重要。”
文章来源:theregister 沃通原创编译,转载请注明来源