这次可能真要和 HTTP 说再见了
就在 8.16
号,Chromium
官方博客宣布了未来将尝试将所有的网站协议默认导向 HTTPS
(就算用户主动使用 HTTP 访问也会如此) ,目前已经在 Chrome 115
版本开启了试验。
大家应该能感觉的到,在过去的几年中大部分网站都在将 HTTP
协议转向 HTTPS
,因为 HTTP
协议在网络上是明文传输的,在网上很容易被劫持或篡改,而 HTTPS
协议可以保障请求数据的加密传输。
根据 Chrome
的统计,超过 90%
的用户已经开始使用 HTTPS
协议浏览网站。
各大平台使用 HTTPS 协议的占比:
使用 HTTPS 协议浏览时间占比:
排名前 100
的网站默认启用 HTTPS
协议,以及支持 HTTPS
协议的网站数量:
这意味着,当前大多数的网站流量都经过了加密和身份验证,可以免受一些黑客的网络攻击。但是,现在仍有 5-10%
的流量顽固地保留在 HTTP
上,从而让攻击者能够窃听或更改这些请求的数据。
当与网站的连接不安全时,Chrome
会在地址栏中显示警告,但这是远远不够的,很多人都不会注意到,而且就算注意到可能数据已经被攻击过了。
一个好的网络环境应该是默认安全的,HTTPS
优先模式可以让 Chrome
能够在不安全地连接到网站之前获得我们的明确许可,从而兑现这一承诺。
Chrome
的目标是最终默认为每个用户都启用这个模式。虽然很多网站可能还没有准备好默认启用 HTTPS
优先模式(比如网站如果没有正确配置 TLS
证书,使用 HTTPS
访问直接就挂掉了),所以下面 Chrome
将会启用几个过渡能力。
HTTPS 自动升级
Chrome
会自动将所有 http://
协议的访问默认升级为 https://
,即使我们明确使用了 http://
协议去访问网站。
这其实和 HSTS
(一个 HTTP Header
:Strict-Transport-Security
,会讲所有的 HTTP
流量默认转向 HTTPS
) 的原理非常相似,你可以理解成给所有的网站都默认加了 HSTS
。
但它比 HSTS
更友好一点,Chrome
会检测这些默认的升级是不是会失败(例如,由于网站提供了无效的证书或返回 HTTP 404
),然后自动回退到 http://
。这个更改可以确保 Chrome
仅在 HTTPS
确实不可用时才使用不安全的 HTTP
,而不是因为我们点击了过时的不安全链接。目前 Chrome 115
版本正在试验这一更改,并且努力标准化整个网络的行为,可能很快就会对所有网站默认开启了。
虽然这个更改也没有办法完全防范主动的网络攻击,但它是我们迈向 HTTPS-First
模式的踏脚石,并且可以保护更多的流量免受被动的网络窃听和篡改。
不安全下载文件警告
目前,Chrome
已经删除了对混合下载(HTTPS
协议的网站下下载 HTTP
的内容)的支持。
然后, Chrome
将在通过不安全的连接下载任何高风险文件之前开始显示警告。下载的文件可能包含绕过 Chrome
沙箱和其他保护的恶意代码,当发生不安全的下载时,网络攻击者可能会危害你的计算机。
这个警告其实还是告知大家正在承担的安全风险。如果你愿意承担风险,仍然可以下载这个文件。
在启用 HTTPS-First
模式之前,Chrome
在不安全下载图像、音频或视频等文件时不会显示警告,因为这些文件类型相对安全,不过预计从 9 月中旬这些文件类型也会开始警告。
逐步推出 HTTPS-First 模式
因为整个网络最终的目标还是为所有人都启用 HTTPS-First
模式,但是为了把影响降低到最小,可能先在下面的领域逐步推出:
-
已注册 Google
高级保护计划并登录Chrome
的用户启用HTTPS-First
模式; -
即将在隐身模式下默认启用 HTTPS-First
模式; -
正在探索为很少使用 HTTP
协议的部分用户自动启用HTTPS-First
模式;
如果你想马上享受最安全的网络环境,也可以到 chrome://settings/security
启用 Always use secure connections
来启用 HTTPS-First
模式~
最后
祝愿整个网络环境中再无 HTTP !再无劫持、篡改、窃听 ~
参考:https://blog.chromium.org/2023/08/towards-https-by-default.html
点赞
和在看
是最大的支持⬇️❤️⬇️