来自谷歌官方博客的最新消息显示,谷歌 Chrome 将于今年七月份将所有的 HTTP 网站标记为“不安全”。
近年来,已经有越来越多的第三方服务开始推荐甚至是强制要求使用 HTTPS 连接方式,比如现在用得特别多的微信登录、微信支付、短信验证码、地图 API 等等,又比如苹果公司 2016 年在 WWDC 上宣称,公司希望官方应用商店中的所有 iOS App 都使用安全的 HTTPS 链接与服务器进行通信,并表示 2017 年 1 月 1 日起,苹果 App Store 中的所有 App 都必须启用 ATS 安全功能——虽然后续因为一些未知原因而暂缓了,但这也传递了一种信号:越来越多的第三方服务下,在不久的将来可能都会强制要求使用 HTTPS 协议,这只是时间问题而已。
那为什么越来越多的 HTTP 都在逐渐 HTTPS 化?HTTP 协议(超文本传输协议)是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议;HTTPS 协议可以理解为 HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
诚然,HTTP 具有高效便捷的优势,但也面临着窃听、篡改、冒充等传输风险,相比之下,HTTPS 协议增加了很多握手、加密解密等流程,虽然过程很复杂,但其可以保证数据传输的安全,所以在这个互联网快速迭代的时代下,HTTPS 越来越受追捧。
谷歌作为科技巨头之一,在这一方面也不例外。为了保证数据安全,谷歌很早就启用了 HTTPS 协议,并且近年来动作不断。2017 年 1 月,Chrome 56 就开始突出标记一些涉及密码、信用卡及其他敏感信息的不安全 HTTP 站点;2017 年 10 月,Chrome 62 又开始标记一些带有输入数据的 HTTP 页面和所有以无痕模式浏览的 HTTP 页面。
谷歌的这些措施也确实卓有成效,在谷歌和 Mac 生态系统中,Chrome 浏览器超过 78% 的流量都在使用 HTTPS;在 Android 和 Windows 生态系统中,Chrome 的 68% 流量也来自 HTTPS;此外,前 100 名的网站中有 81 个都在默认使用 HTTPS,绝大多数 Chrome 流量都已加密。
此次谷歌发布的最新博客消息,是其大力推行 HTTPS 的又一动作:计划在今年 7 月发布的 Chrome 68 版本上标记所有的 HTTP 页面,也就意味着谷歌将启用全站 HTTPS,并且计划在地址栏中显示如下内容:
Chrome 安全产品经理 Emily Schechter 在博客中同样还提到了,“根据网站已经转移到 HTTPS 的速度以及今年的强劲走势,我们认为 7 月份将足够让我们可以标记所有的 HTTP 站点”。
事实上,除去谷歌,其他一些互联网公司也进行了自己的 HTTPS 实现,比如当前国内炒的很火热的微信小程序也要求必须使用 HTTPS 协议;新一代 HTTP/2 协议的支持必须以 HTTPS 为基础等等。因此想必在不久的将来,全网 HTTPS 势在必行。
参考资料:
http://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html
https://9to5google.com/2018/02/08/google-chrome-70-http-not-secure/
https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl
https://www.sohu.com/a/203610693_554061
https://www.cnblogs.com/zhangqie/p/8383508.html
未经允许请勿转载:程序喵 » Google 正式抛弃 HTTP!