来自谷歌官方博客的最新消息显示,谷歌Chrome将于今年七月份将所有的 HTTP 网站标记为“不安全”。
近年来,已经有越来越多的第三方服务开始推荐甚至是强制要求使用HTTPS连接方式,比如现在用得特别多的微信登录、微信支付、短信验证码、地图 API 等等,又比如苹果公司 2016 年在WWDC上宣称,公司希望官方应用商店中的所有iOS App 都使用安全的HTTPS链接与服务器进行通信,并表示2017年1月1日起,苹果App Store中的所有App都必须启用ATS安全功能——虽然后续因为一些未知原因而暂缓了,但这也传递了一种信号:越来越多的第三方服务下,在不久的将来可能都会强制要求使用HTTPS协议,这只是时间问题而已。
那为什么越来越多的HTTP都在逐渐HTTPS化?HTTP协议(超文本传输协议)是客户端浏览器或其他程序与Web服务器之间的应用层通信协议;HTTPS协议可以理解为HTTP+SSL/TLS, 即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL,用于安全的HTTP数据传输。
诚然,HTTP具有高效便捷的优势,但也面临着窃听、篡改、冒充等传输风险,相比之下,HTTPS协议增加了很多握手、加密解密等流程,虽然过程很复杂,但其可以保证数据传输的安全,所以在这个互联网快速迭代的时代下,HTTPS越来越受追捧。
谷歌作为科技巨头之一,在这一方面也不例外。为了保证数据安全,谷歌很早就启用了HTTPS协议,并且近年来动作不断。2017年1月,Chrome 56就开始突出标记一些涉及密码、信用卡及其他敏感信息的不安全HTTP站点;2017年10月,Chrome 62又开始标记一些带有输入数据的HTTP页面和所有以无痕模式浏览的HTTP页面。
谷歌的这些措施也确实卓有成效,在谷歌和Mac生态系统中,Chrome浏览器超过78%的流量都在使用HTTPS;在Android和Windows生态系统中,Chrome的68%流量也来自HTTPS;此外,前100名的网站中有81个都在默认使用HTTPS,绝大多数 Chrome流量都已加密。
此次谷歌发布的最新博客消息,是其大力推行HTTPS的又一动作:计划在今年7月发布的Chrome 68版本上标记所有的HTTP页面,也就意味着谷歌将启用全站HTTPS,并且计划在地址栏中显示如下内容:
Chrome安全产品经理Emily Schechter在博客中同样还提到了,“根据网站已经转移到HTTPS的速度以及今年的强劲走势,我们认为7月份将足够让我们可以标记所有的HTTP 站点”。
事实上,除去谷歌,其他一些互联网公司也进行了自己的HTTPS实现,比如当前国内炒的很火热的微信小程序也要求必须使用 HTTPS协议;新一代HTTP/2协议的支持必须以HTTPS为基础等等。因此想必在不久的将来,全网HTTPS势在必行。
