HTTP走向末路?Chrome 68将所有HTTP页面标记“不安全”

by admin on 2020年4月5日

您的 HTTP 网站上有表单、登录的字段和其他输入部分? Chrome
会将其标记为不安全。

图片 1

2018年2月8日,谷歌安全博客发布公告:从2018年7月Chrome
68版本开始,将所有HTTP页面标记“不安全”。

主要浏览器开发商(主要是 Chrome 和 Firefox)正致力推动 Web 的
HTTPS,正逐渐采取措施对 HTTP 网页显示不安全的警告。Chrome 从 4
月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10
月开始,Chrom
62 将会增加两种不安全警告的显示情况:用户在
HTTP 页面输入数据,或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有
HTTP 网页标记为不安全。

2017年Chrome和火狐浏览器逐步升级对HTTP页面的“不安全”警告,并计划在2018年再次扩大警告范围,Safari也加入了警告HTTP页面“不安全”的行列。全球互联网HTTPS加密流量不断攀升,预计2018年HTTPS加密的普及量将再次提升。

图片 2

Google 通过 Google Search Console 发送电子邮件通知,在 HTTP
网页上拥有表单的站长,这些页面将在 2017 年 10 月开始的 Chrome 62
中被标记为不安全。这不是新的通知,几个月前,Google已经警告过我们。

1月

微信小程序正式上线,服务端请求必须HTTPS

1月9日凌晨微信小程序正式上线,首批上线的小程序有三百多家。微信要求服务端请求必须通过HTTPS加密进行网络通信,不满足条件的域名和协议无法请求。

纽约时报等多个国外新闻网站启用HTTPS加密

1月10日纽约时报宣布开始在NYTimes.com启用HTTPS,为了保护读者的隐私,并确保网站内容的真实性。

谷歌Chrome56发布,正式将HTTP页面标记“不安全”

1月,Google发布了Chrome
56正式版本,将含密码或信用卡信息传输的HTTP页面标记“不安全”。

FireFox 51正式版发布:包含密码的HTTP网页将被标识为不安全

从1月开始,在收集密码但不使用HTTPS的网页中,Firefox
51版本浏览器地址栏将显示带红色删除线的灰色锁图标;此外,输入框也会显示相同的灰色锁图标,并附提示消息“此连接不安全,在此输入的登录名可能会被盗用”。

谷歌强推HTTPS加密,取得惊人进展

过去几年,谷歌一直通过大力倡导网站采用HTTPS加密,推动互联网迈向更安全的网络环境。2017年谷歌逐渐加大力度,通过将更多HTTP页面标记“不安全”来帮助用户了解HTTP站点的安全风险。

·
2017年1月(Chrome56)开始,正式将某些HTTP页面标记“不安全”,比如含密码或信用卡信息传输的HTTP页面;

· 2017年10月(Chrome
62)开始,所有需要输入数据的HTTP页面以及“隐身模式”下的所有HTTP页面都将显示“不安全”警告;

2017年的措施带来了惊人的进展,根据谷歌发布的数据显示:

· 安卓和Windows上,超过68%的Chrome流量已经受到加密保护

· Chrome OS和MAC上,超过78%的Chrome流量已经受到加密保护

· 排名前100的网站中,81个网站已经默认使用HTTPS加密

而此次发布的公告,将进一步推动全球互联网迈向全网HTTPS。目前,Chrome仍显示中性的圆圈“i”标识,未来可能进一步加强警告,最终目标是对HTTP页面显示红色三角警告。

图片 3

从今年 10 月开始,Chrom
62 将会增加两种不安全警告的显示情况:用户在
HTTP 页面输入数据,或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有
HTTP 网页标记为“不安全”。电子邮件的主题是“Chrome
将显示安全警告”,并解释了他们需要添加 HTTPS
以及更多有关如何使用的详细信息。 下面是其中一份电子邮件通知的副本:

2月

使用HTTPS连接的密码输入页面增至70%

Firefox检测到2016年1月至今,通过HTTPS完全安全登录的页面百分比已从近40%增加到近70%,HTTPS页面总数也增加了10%。

美国政府网站新政:对新注册的.gov域名强制执行HTTPS

美国政府总务管理局(GSA)将把新发布的行政部门.gov域名及其子域名自动提交给网络浏览器强制实施HTTPS,使安全通信成为联邦web服务的默认配置

谷歌首次成功实现SHA-1碰撞攻击

2月23日谷歌宣布,谷歌研究人员和阿姆斯特丹CWI研究所合作发布了一项新的研究,详细描述了成功的SHA1碰撞攻击,他们称之为“SHAttered”攻击。

网站没有升级HTTPS,会怎么样?

NetMarketShare公布的2017年8月浏览器市场份额数据显示,Chrome依然是最热门的桌面浏览器,市场占比接近60%。如果您的网站没有升级HTTPS加密,Chrome将标记您的网站“不安全”,警告用户谨慎访问,这可能造成大量用户流失。在Chrome浏览器的引领下,其他浏览器也在逐步实施弃用HTTP的计划,FireFox准备将所有HTTP页面标记“不安全”,Safari也计划添加HTTP安全警告,HTTP页面的警告范围将越来越大。

图片 4

此外,安全访问已经成为互联网标准,现代互联网技术都将围绕着更为安全的HTTPS加密而设计的。一些新功能和标准已经被设计为从发布之初就使用HTTPS加密,例如:下一代HTTP/2协议、浏览器最新功能(地理定位、用户媒体等)等等都仅支持HTTPS加密。网站没有升级HTTPS加密,那这些高级功能都和你无缘了。

图片 5

3月

CA/B Forum新规:SSL证书最长有效期将变更为2年

CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。

CA/B Forum 批准证书颁发机构授权(CAA)提案

在RFC6844中规定的证书颁发机构授权(CAA)是一项旨在改善PKI生态系统强度的提议,它通过新的控件来限定哪些CA,使之可以向特定的域名颁发证书。CA/B论坛投票批准了将CAA作为其证书颁发标准的基本要求之一。这项措施将在2017年9月正式生效。

升级HTTPS加密,应该做些什么?

您需要立即为网站制定HTTPS加密升级计划,部署SSL证书让您的网站迁移到HTTPS。在申请SSL证书之前,需要梳理一下有多少网站需要HTTPS加密保护,根据您的业务需求选择合适的SSL证书进行HTTPS改造和性能优化。无论采用何种方式,您需要在7月份之前获取SSL证书,避免您的网站被贴上“不安全”的警告标签。沃通CA在华为云市场提供“沃通免费SSL证书”,全球信任、支持所有浏览器,帮助用户零成本部署HTTPS加密。网站升级HTTPS加密的过程中遇到任何问题,欢迎咨询沃通CA(www.wosign.com)。

沃通SSL证书,买两年送一年”优惠活动火热进行中,沃通CA提供更真诚的价格、更专业的服务帮助您尽快升级HTTPS加密,立即咨询沃通CA获取升级方案!

沃通原创文章,转载请注明来源

Chrome 将根据浏览器和页面的类型显示警告:

4月

国际互联网协会要求G20支持互联网全面加密

国际互联网协会在一篇博文中向20国集团(G20)的领导人表示,加密本是保护在线交易和通信的安全方式。国际互联网协会的首席执行官凯瑟琳-布朗认为,只有互联网够强大、够安全,数字经济才会继续蓬勃发展。

图片 6

5月

Chrome将“强制证书透明度要求”推迟至2018年

Google的Chrome浏览器将通过强制要求所有希望被信任的SSL证书实现CT记录来解决这个问题。但是强制性证书透明度合规的日期已经推迟了6个月

  • 从今年10月到2018年4月。

以下是用户填写表单时的显示示例:

6月

Chrome 67中呈现API将仅支持HTTPS

谷歌工程师宣布将在2018年第二季度发布的Chrome
67中禁止一切使用不安全来源的呈现API(Presentation API)。

图片 7

7月

微软建议用户禁用TLS 1.0及1.1

为了鼓励使用一流的加密技术,微软将在今年夏天在Windows Server 2008中为TLS
1.2提供支持。在Windows操作系统的最新版本Windows Server
2012及以上版本中,TLS 1.2在默认情况下是系统的首选协议版本。

来自:http://searchengineland.com

8月

Firefox 55 要求所有“地理位置服务”使用HTTPS

8月发布的Firefox
55将会完全禁用HTTP的地理位置服务,也就是还没用上HTTPS加密的地理位置服务将没有询问用户位置的权限,用户甚至都不知道该网站询问过位置信息。

9月

HTTP又被弃!微信公众号API仅支持HTTPS调用

微信公众平台发布公告,要求开发者尽快将现有通过HTTP方式调用的服务切换为HTTPS调用,平台将于2017年12月30日停止对HTTP调用的支持。

Google要求45个顶级域名使用HSTS HTTPS加密连接

Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接,TLD是URL(.com,.org等)的最后一部分。为了确保其所有45个TLD,Google将使用HSTS或HTTPS加密连接。

10月

Chrome 62将所有需输入数据的HTTP页面标为“不安全”

Chrome将进一步扩大HTTP页面“不安全”警告的展示范围。Chrome
62版本起,所有需要输入数据的HTTP页面以及“隐身模式”下的所有HTTP页面都将显示“不安全”警告。

谷歌Chrome宣布明年放弃HPKP机制

谷歌安全团队Chris
Palmer在安全论坛中宣布“HPKP已死”,谷歌将在预计明年5月发布的Chrome
67版本中,放弃对HPKP(HTTP公钥钉)的支持。

11月

我国SM2与SM9数字签名标准正式成为国际标准

10月30日至11月3日,第55次ISO/IEC信息安全分技术委员会(SC27)会议在德国柏林召开。我国SM2与SM9数字签名算法一致通过为国际标准,正式进入标准发布阶段。

12月

Chrome 63的安全新特性,TLS 1.3终于要来了!

经过漫长的等待,TLS 1.3终于准备好发布了。Chrome
63中的重大安全变化是对TLS 1.3的支持。TLS 1.3是人们期待已久的TLS
1.2继任者,它应该会比它的前任版本更好地提高安全性和性能。

火狐浏览器Firefox准备将所有HTTP页面标记为不安全

Firefox Nightly
59版本包含一个隐藏首选项,启用后将在所有HTTP页面上显示上述删除线锁定图标。

微软准备在Office 365中强制使用TLS 1.2

12月19日,微软官方宣布准备在2018年3月1日起,在Office 365中强制使用TLS
1.2。这意味着,所有客户端-服务器和浏览器-服务器之间必须使用TLS
1.2或以上协议版本,才能正常连接到Office 365的服务。

苹果Safari技术预览版46添加HTTP安全警告

Safari正在加入Firefox和Chrome的行列,针对HTTP页面向用户发出警告。当用户使用不安全页面进行密码或信用卡表单等信息交互时,智能搜索字段(地址栏)中就会显示安全警告。

如果您希望了解更多关于HTTPS与SSL证书相关的信息,请联系沃通WoTrus(WoSign)

网址:www.wosign.com

电话:0755-86008688

沃通原创整理,转载请注明出处

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图