• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    浏览器的名义——HTTP已死 HTTPS当立

    陈硕 来源:中国电子银行网 2017-05-09 09:41:08 浏览器 HTTPS 金融安全
    陈硕     来源:中国电子银行网     2017-05-09 09:41:08

    核心提示随着HTTP安全问题的不断暴露,以谷歌为代表的浏览器厂商发起了一场用更安全的HTTPS代替HTTP的行动。这场行动在今年逐步迈入高潮,浏览器厂商的多项政策正在宣告“HTTP已死,HTTPS当立”。

      浏览器的主要功能是向服务器发出请求,以便在浏览器窗口中展示用户想要访问的网络资源(如文字、图片、视频等)。当服务器接收到这个请求后即做出响应,将HTML代码发送给浏览器,让网页在浏览器显示出来,而将请求和响应连接在一起的传输协议便是HTTP。很久以来,我们都是通过浏览器和HTTP访问网络的,浏览器也成为互联网的最主要入口。

      但随着HTTP安全问题的不断暴露,以谷歌为代表的浏览器厂商发起了一场用更安全的HTTPS代替HTTP的行动。这场行动在今年逐步迈入高潮,浏览器厂商的多项政策正在宣告“HTTP已死,HTTPS当立”。那么,浏览器厂商正在如何推进HTTPS的普及?在浏览器的高压态势下,依然使用HTTP的网站如何应对?而已实现HTTPS的网站就能高枕无忧了吗?

      第一大浏览器“封杀”HTTP

      谷歌在4月底宣布,从Chrome 62(今年10月发布)开始,只要用户在HTTP协议网站下有输入动作,就会在地址栏以动画的形式弹出“Not Secure”,即“不安全”。

      谷歌近来持续依靠Chrome在浏览器市场上的老大地位强推HTTPS,从今年1月发布的 Chorme 56 开始,如果在HTTP网页上输入密码或信用卡号等敏感信息,Chrome就会在网址列左方弹出不安全的警告。Chrome 62则更进一步,不管你在HTTP网页的文字框输入什么,Chrome都会警告。

    浏览器的名义——HTTP已死 HTTPS当立

    浏览器的名义——HTTP已死 HTTPS当立

    Chrome 62将对HTTP网页上任何信息的输入都进行警告

      当Incognito Mode(隐身或无痕模式)开启时,Chrome会认为你要求更高的安全性,所以会对打开的所有HTTP网页进行警告。而在不久的将来,Chrome计划不管是不是Incognito Mode,HTTP网页统统会被警告。不仅是Chrome,火狐也在今年开始对HTTP网页发出警告。Chrome+火狐的市场占有率为70.8%(2017年5月数据),超过七成的流量入口即将淘汰HTTP,基本宣告了这一协议的死亡。

      在浏览器厂商的强力推进下,HTTPS的使用率也大幅增加。据统计,谷歌搜索结果首页中的HTTPS站点占比已达到50%,较9个月前的30%上涨了20%。在谷歌排名TOP10 的站点中,前八位均为HTTPS站点,HTTPS网站已获得浏览器和搜索引擎的共同青睐,得到了更大的发展空间。

    浏览器的名义——HTTP已死 HTTPS当立

    谷歌TOP10网站中的前八位都已实现或接近全站HTTPS(即网站100%的网页都使用HTTPS)

      有了HTTPS,就没有了“伤害”

      用户需要通过浏览器访问你的网站,如果网站依然使用HTTP,将至少面对以下“伤害”:

      据统计,从Chrome 56开始的浏览器警告导致HTTP网站的账号密码登入量减少了23%,浏览器警告吓跑了访客,对HTTP网站流量和用户量增长的负面影响将持续扩大;

      HTTP采用明文传输,未经加密,用户和网站的数据均有可能泄露;

      由于HTTP没有对服务器的身份认证机制,黑客可以利用仿冒网页诱骗用户访问,并实施“钓鱼”攻击;

      同样因为没有加密和认证功能,HTTP网站的流量易遭“劫持”,也就是用户在访问网站时,看到网页上有一些乱七八糟的广告或弹窗,这些内容并非网站放置,而是流量被“劫持”后由他人插入的。

    浏览器的名义——HTTP已死 HTTPS当立

    用户打开正常网页后因“流量劫持”被跳转到色情页面

      基于以上,浏览器倒逼网站站长切换到带SSL证书加密认证的HTTPS也是不无道理。过去,因为SSL证书需要一定费用,很多网站不愿为此掏腰包,但今年浏览器对HTTP的封杀力度可谓前所未有,HTTP网站不得不正视这个问题。对此,目前唯一可颁发支持所有浏览器SSL证书的中国本土CA中国金融认证中心(CFCA给出如下建议:

      电商、金融等涉及交易类业务的网站应尽快实现HTTPS,避免用户在注册输入卡号或登录输入密码时因浏览器警告而流失;需要展示公信力或品牌形象的政府、公共服务、企业类网站则有必要在今年10月前,也就是Chrome62开始对所有HTTP页面输入行为警告前申请SSL证书;而一些个人网站或纯信息展示网站,例如无用户、页面无输入框等,则可视浏览器后续的HTTPS政策再做打算。但如需预防流量“劫持”,则可以马上部署SSL证书。

      有了HTTPS就能安心“吃瓜”?

      既然都在打压HTTP,那有了HTTPS就万事大吉,不用再被浏览器警告烦恼了吧?遗憾的是,由于SSL证书的错误使用,很多HTTPS网站依然难逃安全警告。根据百度《HTTPS最佳安全部署实践》统计,99.19%已使用HTTPS的网站存在配置或安全问题。如果存在证书加密协议过时、使用过期证书、证书不支持所有浏览器等严重问题,浏览器对HTTPS也会给出如下警告。

    浏览器的名义——HTTP已死 HTTPS当立

    浏览器的名义——HTTP已死 HTTPS当立

      对于如何避免或消除HTTPS错误,中国金融认证中心(CFCA)给出如下建议:

      请使用根证书已植入微软、谷歌、火狐、苹果等所有浏览器厂商证书库的SSL证书,让网站HTTPS在各大浏览器中均能正常显示;

      请在服务器配置中启用TLSv1协议和AES256-SHA的新型加密套件,过时的协议和套件会触发浏览器报错;

      企业机构用户请不要使用免费SSL证书,免费证书缺乏完善的审核机制及售后服务,可能出现证书被伪造、被错配等情况。

    浏览器的名义——HTTP已死 HTTPS当立

    Chrome浏览器对正确安装了CFCA SSL证书的企业网站给予信任

      如果您希望了解更多与HTTPS与SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。  

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定