依据去年的一项计划，谷歌在2月份宣布逐步阻止HTTPS页面的HTTP资源下载，确保HTTPS安全页面仅下载安全文件。

什么是混合内容？

HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指，初始网页通过安全的HTTPS连接加载，但页面中其他资源（如：图像、视频、样式表、脚本）却通过不安全的HTTP连接加载，这样就会出现混合内容错误（也就是不安全因素）。

不安全资源加载会威胁用户的安全和隐私。例如，攻击者可以将通过HTTP下载的程序替换为恶意程序，窃听者可以读取用户通过HTTP下载的银行对账单等等。为了解决这些风险，谷歌计划最终在Chrome中禁止加载不安全资源。

Chrome阻止混合内容的计划表

从Chrome 82（将于2020年4月发布）开始，Chrome将逐渐开始警告并随后阻止这些混合内容下载。对用户构成最大风险的文件类型（例如可执行文件）将首先受到影响，随后的版本将涵盖更多文件类型。这种逐步推出的目的是快速缓解最严重的风险，为开发人员提供机会更新网站，并最大程度地减少Chrome用户必须看到的警告数量。谷歌计划首先在桌面平台（Windows，macOS，Chrome OS和Linux）上推出对混合内容下载的限制，针对桌面平台的推进计划如下：

在Chrome 81（于2020年3月发布）和更高版本中：Chrome浏览器会在控制台消息中对所有混合内容下载进行警告。

在Chrome 82（于2020年4月发布）中：Chrome浏览器将警告可执行文件（例如.exe）的混合内容下载。

在Chrome 83（于2020年6月发布）中：Chrome浏览器将阻止混合内容可执行文件；Chrome会警告混合内容档案（.zip）和磁盘映像（.iso）。

在Chrome 84（于2020年8月发布）中：Chrome浏览器将阻止混合内容的可执行文件，归档文件和磁盘映像；Chrome浏览器会警告所有其他混合内容下载，但图片，音频，视频和文本格式除外。

在Chrome 85（于2020年9月发布）中：Chrome浏览器会警告您下载图像，音频，视频和文本的混合内容；Chrome浏览器将阻止所有其他混合内容下载。

在Chrome 86（2020年10月发布）及更高版本中：Chrome将阻止所有混合内容下载。

在Android和iOS的Chrome中发布会延迟一个版本，并开始在Chrome 83中发出警告。移动平台具有更好的本机保护，可抵御恶意文件，这种延迟将使开发人员在影响其移动用户之前先开始更新其网站。

网站开发者如何处理混合内容

网站开发者应及时排查网站内的加载文件，确保所有文件都仅通过HTTPS下载，申请沃通SSL证书为网站及所有资源子域名提供HTTPS加密。在当前版本的Chrome Canary或发布的Chrome 81中，开发人员可以通过启用chrome：// flags /上的"Treat risky downloads over insecure connections as active mixed content" 来激活警告用于测试。

1、查找混合内容

使用Chrome的“开发者工具”查找网页是否存在混合内容。访问需要测试网页，打开开发者工具，选择“Security”-"Non-Secure Origin"，就可以看到混合内容。

2、确保所有资源域名都部署了HTTPS证书

如果加载的资源来源于子域名，则子域名也需要配置HTTPS证书。沃通CA提供通配型SSL证书，可同时保护同一主域名下所有二级子域名。

3、解决方式

站外资源：测试链接是否支持HTTPS，如果可以访问，直接在代码中URL修改http为https的链接。站内资源：设置全站HTTPS加密，确保所有资源通过HTTPS协议加载。

消息来源：谷歌安全博客

最新资讯

Chrome 浏览器显示“网站连接不安全”，是什么原因？

Chrome将不再允许https://页面加载HTTP资源

Chrome 80正式发布下载：强化HTTPS、禁用FTP、通知消息更静默

Chrome逐步淘汰不安全的非HTTPS链接，怎样从http转换成https呢？/a>

研究人员发现针对Chrome扩展程序的大型恶意软件操作

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书