首页>安全资讯>Google要求45个顶级域名使用HSTS HTTPS加密连接

Google要求45个顶级域名使用HSTS HTTPS加密连接

Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接,TLD是URL(.com,.org等)的最后一部分。为了确保其所有45个TLD,Google将使用HSTS或HTTPS加密连接

自从2010年将Gmail迁移HTTPS起,Google一直在推动通用加密或HTTPS Everywhere。从去年开始对个人网站的SSL加密进行施压。从2018年开始,每当有人访问仍然通过HTTP服务的网站时,Google会在地址栏中放置一个“不安全”的指示。

什么是HTTP严格传输安全

HSTS是一种机制,强制Web浏览器只通过HTTPS连接到您的网站。 有一些称为HSTS预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行HTTPS连接。 这增加了一层安全性,因为它防止降级攻击。

当浏览器收到一个网站的HSTS意味着网站所有者已启用HTTP严格传输安全 - 它更新其HSTS列表,以便HTTP连接永远不会遭到重置。但是,在浏览器收到Header之前,你仍然很容易受到攻击,因此HSTS仍是存在瑕疵的。

不过Google已基本上为其所有顶级域名解决了这个问题。

将所有TLD放在HSTS预载列表上的优点是什么

HSTS预加载列表可以包含域,子域和TLD。直到2015年,没有人尝试添加TLD,Google添加了同名的.google。现在它增加了其他44个TLD。这有很多优点。

通过将所有TLD置于列表中,浏览器将自动执行与该TLD的任何域的HTTPS连接 - 只要它们已安装了SSL证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在TLD级别的预载列表中。

然而,获取HSTS预载列表可能需要几个月的时间。将自家TLD放进预加载列表,算是Google对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的 - .google,.how和.soy,第四个.app,即将上线。

Google的这一做法可能会形成一个趋势。随着SSL迅速成为需求,增强你的SSL产品(例如,保证HSTS预加载列表中的一个位置)将会比以往更重要。我们期待看到更多的域名注册商将整个TLD添加到列表中。

相关资讯:

如何开启HSTS让浏览器强制跳转HTTPS访问

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS...

Google.com支持HSTS,强制HTTPS访问

谷歌宣布域名Google.com支持HSTS机制,HSTS(HTTP Strict Transport Security)是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制,主要...

如何利用HSTS强制网站HTTPS加密访问

HSTS全称是HTTP Strict Transport Security,已经被主流的浏览器广泛采用,支持HSTS的服务端可以强制访问它的浏览器使用HTTPS 协议,这样就可以最大限度的...

如何配置HSTS,HSTS部署方法介绍

HTTP严格传输安全HSTS,配置浏览器对整个域名空间使用HTTPS来加密,在使用HSTS之后,所有与网站的不安全通信都是不允许的。

Google域名支持HSTS机制,强制访问HTTPS安全协议

近日,Google官方博客宣布其域名Google.com支持HSTS。HSTS代表HTTP Strict Transport Security ,是国际互联网工程组织IETE正在推行一种新的Web安全协议,它是...

HTTPS骨灰粉谈加入HSTS预载入列表

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的HTTP响应头中包含Strict-Transport-Security字段。浏览器接收到这样的信息之后,在一定期限内对该...