Chrome浏览器新增网站默认安全策略,网友褒贬不一
目前成都创新互联已为上千的企业提供了网站建设、域名、网站空间、网站托管、服务器租用、企业网站设计、正蓝网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。>Google 近日在博客中宣布,当用户在地址栏中输入一个 URL 而不指定协议时,并且正在访问的网站已经支持 HTTPS,那么 Chrome 将默认使用更安全的 HTTPS(类似于大家熟知的 HTTPS Everywhere 浏览器扩展的操作)。
新的默认设置将率先登陆桌面版和 Android 版的 Chrome 浏览器,随后才会推出到 iOS 上的 Chrome 浏览器。
以往在默认情况下,当用户在 Chrome 地址栏中输入不完整的网址时(例如 oschina.net),Chrome 会事先通过 HTTP 来加载域名。毕竟大部分用户为了节省时间并不会将 https:// 这样的协议一同输入地址栏。而作为 Chrome 90 更新内容的一部分,Google 将会改变这种情况。
HTTPS 协议会对网络上传输的任何信息进行加密,以抵御潜在的攻击,因此安全性更有保障,目前主流网站均已支持该协议。当然,如果一个网站本身就不支持 HTTPS,浏览器将切换到 HTTP 以代替。不过 Chrome 仍然会提醒你访问 HTTP 网站的风险。
除了更加安全之外,这一变化还将减少加载时间,因为它绕过了一些已经支持 HTTPS 协议的网站从 HTTP 到 HTTPS 的重定向。
当然也有网友提出异议:一个网站如果仅仅因为被HTTPS保护就完全信任它,是不合理的。
数年前,知名WordPress安全公司WordFence发现,证书颁发机构(CA)向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的,所以即使它们是钓鱼网站,Chrome仍然会将这些网站报告为安全的网站。
当然,CA不应该向这些虚假网站颁发证书,然而事件已经发生了,往者不可谏。据悉,这个名为Let’s Encrypt的免费CA,曾被用来为非法使用 “PayPal “作为其名称一部分的钓鱼网站创建数千张SSL证书。
在今天,82.2%的网站已经被HTTPS保护。大量使用自动发放的免费DV证书的网络攻击已经削弱了互联网的可信计算基础(TCB)。免费DV证书对网络安全是一种生存威胁。
在此基础上,付费的ssl证书可能更安全。对于中大型企业网站、金融平台和政府机关等付费的OV、EV证书则更加适用。付费SSL证书对信息传输过程有更高的加密验证,还可以通过SSL证书来彰显品牌形象,为消费者塑造更加可靠的形象。创新互联提供多种SSL证书类型,具有不可窃听、不可更改、不可否认、不可冒充的功能,详细信息请咨询:https://www.scvps.cn/services/ssl/
网页题目:Chrome浏览器新增网站默认安全策略,网友褒贬不一
文章起源:http://pwwzsj.com/article/scopoj.html