各大浏览器继续推动无处不在的HTTPS
发布日期:2019-10-12Google Chrome和Mozilla Firefox正在更新向用户显示SSL/HTTPS网站的方式,并继续致力于将所有互联网流量转移到HTTPS Google和Mozilla最近宣布了几项更改,分别改变了它们在Chrome和Firefox中显示HTTPS网站的方式。这些更改中的大多数是浏览器讨论了几年的推动力的一部分,鼓励所有网站从HTTP迁移到HTTPS。
以下是浏览器正在进行的六项值得注意的更改的快速概述,以及网站管理员和互联网用户需要了解的内容。
1. Chrome强制执行HTTPS或阻止“混合内容”
多年来,“混合内容”一直是全世界Web开发人员的祸根,在将网站切换为使用HTTPS之后,经常仍有图像,脚本或其他文件仍通过HTTP加载,这会触发“混合内容”安全错误在用户浏览器中如下所示:
正如Google所述:“ HTTPS页面通常会遇到一个称为混合内容的问题,该页面上的子资源会通过http://不安全地加载。浏览器默认情况下会阻止多种类型的混合内容,例如脚本和iframe,但是仍然允许加载图像,音频和视频,这威胁到用户的隐私和安全性。例如,攻击者可能篡改股票图表的混合图像以误导投资者,或将跟踪cookie注入混合资源负载中。加载混合内容还会导致浏览器安全性UX混乱,该页面既不安全也不不安全,而是介于两者之间。”
从Chrome版本79(计划于2019年12月发布)开始,Google将逐步实施一项计划,以更改混合内容的处理方式:
· 版本79:用户将能够手动阻止或取消阻止混合内容。
· 版本80:混合的音频和视频将自动升级到HTTPS,如果无法通过HTTPS访问它们,则将被阻止。将加载混合图像,但在地址栏中显示“不安全”警告。
· 版本81:混合图像会自动升级到HTTPS,如果无法通过HTTPS加载,则会被阻止。 最终,这不会改变网站管理员的工作方式,确保所有资源(包括图像,视频和音频)100%的时间通过HTTPS加载。
2. Firefox将所有HTTP URL标记为不安全
遵循Chrome的足迹,Firefox现在将所有HTTP网页标记为“不安全”。在过去的几年中,Firefox已开始警告用户HTTP页面是否包含登录名或其他形式,但现在Firefox将在所有HTTP页面上显示警告。
从Firefox 70版本(计划于10月发布)开始,用户将在所有HTTP页面上看到如下警告:
如果单击挂锁,您将看到如下消息:
在此处,您可以单击以获取更多详细信息以查看此信息:
3. Firefox开始过渡到HTTPS上的DNS
从9月开始,Firefox开始逐步推出,默认情况下将用户切换为使用基于HTTPS的DNS(DoH)。如果他们的计划如期进行,那么到2020年,他们将使所有美国用户都转换。
去年,Firefox解释了为什么他们开始着手改用DoH的原因:“由于没有加密,沿途的其他设备也可能会收集(甚至阻止或更改)[DNS]数据。DNS查找被发送到可以监视您的网站浏览历史记录的服务器,而无需通知您或不发布有关这些信息的处理方法的信息…我们升级DNS隐私的第一项工作是实施HTTP over HTTPS(DoH)协议,它会加密DNS请求和响应。” 不过,这一决定并非没有争议,因为一些网络安全专家认为,卫生部将引起更多的问题而不是解决的问题。
Firefox的DoH默认使用CloudFlare的DNS服务,但是用户可以根据需要切换到备用服务。
4. Google通过HTTPS测试DNS
从Chrome版本78(计划于10月发布)开始,Google将开始为某些DNS服务器测试DoH:
“该实验将与已经支持DoH的DNS提供商合作完成,其目标是通过将他们升级到当前DNS服务的DoH版本来提高我们共同用户的安全性和隐私性。通过我们的方法,使用的DNS服务不会改变,只有协议会改变……此实验的目的是验证我们的实施并评估性能影响。” 虽然Google在推出DoH方面落后于Firefox,但Chrome似乎有可能在2020年将其推广给大多数/所有用户。
5. 网址中的Chrome隐藏协议(http://或https://)
Google最近更改了地址栏中网址的显示方式-从网址开头隐藏了http://或https://。乍一看,这种变化听起来像Chrome降低了HTTPS的重要性,但事实恰恰相反。这项更改是Google努力使HTTPS成为整个网络的默认协议的一部分。
研究表明,在互联网安全方面,积极指标很有价值,但是用户更加关注消极指标。这就是Google实施一项计划使HTTPS成为默认设置并显示HTTP URL警告的原因。此更改只是该计划的下一步:HTTPS正常(因此未显示正常),但是HTTP会触发错误。
6. Chrome和Firefox EV的显示更改
与前五个更改不同,此更改不是要让更多站点切换到HTTPS,而是要更改具有EV SSL证书的站点的显示方式。Chrome和Firefox正在将EV显示(已验证的公司名称)从地址栏移动到证书详细信息显示。现在,用户可以通过单击挂锁来查看EV公司的详细信息,如下所示:
他们还可以单击以查看其他证书详细信息,如下所示:
可以想到这款EV显示器有点像护照:我们不会将其随身携带,但是随时都需要身份验证。如果用户不确定网站,则可以快速查看EV详细信息,以查看哪些法人拥有和运营该网站。
除了可让客户在不确定网站时随时检查之外,其他实体还使用EV证书详细信息进行身份验证:
· 防病毒软件使用EV证书详细信息来区分信誉良好的网站和网络钓鱼网站。
· 政府(尤其是在欧洲)越来越多地要求在线交易的公司通过EV SSL证书和/或LEI提供经过验证的身份信息。
浏览器应使经过验证的身份信息(例如EV详细信息)更加突出,而不应少。除非实施更好的解决方案,否则EV SSL仍然是用户验证运营网站的合法实体的最佳解决方案。
随着在线犯罪的激增,监管机构越来越期望公司在网上提供经过验证的身份,EV SSL(和类似工具)将在未来几年内成为互联网的重要组成部分。逐渐将更多的用户和网站转移到HTTPS,这对用户,网站所有者和Internet都是一件好事。
最新资讯
Windows\Apple\Mozilla\Android删除根证书的方法
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书