Google Chrome浏览器向用户警告不使用HTTPS的网站

导读 Google计划引入警告系统,以警告用户访问不使用HTTPS协议的网站时可能存在的安全风险。从2015年开始,访问HTTP网站的Google Chrome浏览器...

Google计划引入警告系统,以警告用户访问不使用HTTPS协议的网站时可能存在的安全风险。从2015年开始,访问HTTP网站的Google Chrome浏览器用户将收到有关该网站可能不完全安全的警报。初始警报只会将非HTTPS网站标记为具有“可疑”安全性,但是在将来的某个日期,Chrome会开始将此类网站标记为“不安全”。

Chrome安全团队成员在博客中说:“该提案的目的是向用户更清楚地显示HTTP不提供数据安全性。

该博客指出:“我们所有人都需要在网络上进行数据通信以确保安全(私有,经过身份验证,不受干扰)。” 当站点不提供安全性时,需要通知用户有关安全性的信息,以便他们可以决定如何以及是否与站点进行交互。

一位接近这一努力的Google消息人士称,该公司计划在明年全年启动该系统。消息人士称,但该公司尚无网站的具体时间表。

HTTPS网站使用安全套接字层(SSL)加密来保护客户端和服务器之间的流量。用于加密会话的数字证书还用于对网站进行身份验证,从而为用户提供更高级别的保证。HTTPS网站比HTTP网站为用户提供更好的数据保护,并且可以防止中间人攻击和欺骗性网站。

诸如Chrome,Firefox和Internet Explorer之类的流行浏览器在导航栏中使用挂锁图标来指示网站是否使用HTTPS。展望未来,Google的计划是让Chrome明确表示网站是否因为使用HTTP而存在安全隐患。

Google的建议是该公司为鼓励广泛采用HTTPS而正在进行的一项工作。尽管HTTPS已经存在很长时间了,但许多站点仍未使用它。

例如,High-Tech Bridge在2013年12月对前100个电子商务网站进行的一项调查显示,只有两个网站会自动确保其客户在下订单或将商品放入购物车时使用安全的HTTPS。大约27%的人对其网站的非关键部分完全不使用HTTPS,而7%的人甚至不对结帐,付款和登录之类的功能实施HTTPS。

今年早些时候,谷歌表示,将在其搜索服务中对该网站进行排名时,将开始考虑该网站对HTTPS的使用。从搜索引擎排名的角度来看,使用安全协议的网站将比HTTP网站更受青睐。

为了让网站所有者有时间使用HTTPS,Google至少在最初阶段对HTTPS的使用仅具有很小的意义。Google趋势分析师在今年早些时候写道: “但是随着时间的流逝,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从HTTP切换到HTTPS 。”

Google还开始鼓励网站所有者停止在HTTPS的证书签名中使用SHA-1哈希算法。两名安全工程师在9月写道,已证明SHA-1已损坏,并且很容易受到最初旨在防御的攻击。

“我们计划在Chrome的HTTPS安全指示器中显示SHA-1不符合其设计保证的事实。”警告的范围从“安全但有小错误”通知到“肯定不安全”。