目前全球范围内越来越多的网站已经使用 HTTPS 网址前缀,为用户带来更好的安全性,不容易被截获明文登陆的账号密码。过去几年间,Firefox、Chrome 等浏览器一直在倡导HTTPS 的加密普及。尽管目前全球82%的网站都已使用HTTPS,但是依旧有很多网站没有进行更新。

Chrome 90地址栏将默认使用HTTPS连接

继2020年11月Firefox 83版本引入仅HTTPS浏览模式后,如今Google Chrome又迈出了重要一步。

据ZDNet消息,在计划于今年4月推出的Google Chrome 90版本中,浏览器即将增添新功能,用户输入网址 URL 时如果不加上 “http://”等前缀,浏览器会默认添加https://”。Chrome 90版本中,将通过更安全的HTTPS协议自动加载所有不完整的URL,这项新功能将迫使更多网站采用HTTPS加密,从而提高用户在线隐私和安全性。

image.png

(据谷歌安全工程师的说法,该功能可以在 Chrome 89 版本浏览器的高级设置中看到,用户可以通过启用chrome:// flags /#omnibox-default-typed-navigations-to-https来激活这项功能。)

Chrome上的HTTPS

在浏览器方面,Google Chrome已突破70%以上的全球市场份额,继续稳坐霸主地位。

长期以来,Google一直是HTTPS的拥护者,为了营造安全的网络环境,Google多年来投入大量人力物力来确保网站和服务均默认提供HTTPS,并且已经建立了许多机制来加速向新安全协议的过渡,其目标是所有 Google产品和服务中实现 100% 加密。

截止2021年2月14日,Google Chrome安全团队发布了最新的统计数据,数据显示所有Google产品和服务中,采用HTTPS加密连接占比已达95%。(见下图)

借助即将发布的Chrome 90版本,浏览器将始终尝试连接到HTTPS链接,以响应不完整的URL查询,避免用户可能会意外登陆到不安全的HTTP网页。

image.png

为什么HTTPS是每个网站的必选项?

**
HTTP是互联网上应用最为广泛的一种网络协议,可以在Web浏览器和网站服务器之间传递信息。但是HTTP明文协议是不安全的传输协议,无法进行服务器端真实身份校验,也不能为传输数据提供加密保护,通过HTTP协议传输的数据时刻处在被窃听、篡改、冒充的风险中,对隐私信息来说有着巨大安全隐患。

早在1994年,Netscape网景公司便针对网络身份验证这一需求开发了一种网络安全协议,即安全套接字层(SSL,Secure Socket Layer)协议。
image.png
而HTTPS(超文本加密传输协议)就是由SSL(安全套接字层协议)+HTTP(超文本传输协议)构建而成,是一种可进行加密传输、身份认证的网络协议,为浏览器和服务器之间的通信进行加密,确保数据传输到正确的服务器端,防止中间人窃取传输数据。

HTTPS的安全基础是SSL协议,通过SSL证书来验证服务器的身份,为浏览器和服务器之间的通信加密以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。因此,SSL证书已经成为了众多网站的安全标配。
**