Chromium开发团队计划从2015开始将所有HTTP页面标记为不安全,并积极明确的告知用户,HTTP页面并不具有任何数据安全的保护能力,鼓励更多的网站实现更为有效的HTTPS加密。 Google公布计划 类似于Let's Encrypt,Chromium开发团队将通过非盈利组织EEF(电子前线基金会)与Mozilla, Cisco,以及Akamai进行合作,为2015年之后接入互联网的服务器提供HTTPS加密认证。 这并不是google第一次通过这种方式鼓励更多的网站实现更为有效的HTTPS加密,早在几个月前,google就曾试图通过改变其搜索引擎的算法来轻微的提高已经进行HTTPS加密网站的排名。 “我们打算通过用户代理供应商来逐步改变其用户体验,以此来展现HTTP是不安全的,并鼓励更多的网站进行HTTPS加密。我们所有人都需要保证数据通信的安全,当我们的数据通信安全不能够得到保证时,用户代理供应商应该进行明确及时的提醒,以便用户更好的做出决策。”
用户在浏览网页时总是在安全性和自由之间做出妥协,当我们谈论安全时,它往往意味着我们在网站上的自由性会大大降低。 Chromium开发团队还强调称,当网站进行HTTPS加密后,在任何浏览器的用户界面中,地址栏都会有显示。这种显示可以有效的保护用户不受到站点伪造攻击,例如中间人攻击或者钓鱼网站。 但是一般情况下浏览器并不会发出警告。只有当浏览器认为网站的来源为HTTP,用户的安全性无法得到保证时才会发出警告。 分阶段实现
研究小组人员建议浏览器重新定义三个基础的传输层安全协议: Secure (有效的HTTPS,以及其他类似的如(*, localhost, *))
Dubious (有效且无源的HTTPS,有效且包含小TLS错误的HTTPS)
Non-secure (破碎的HTTPS,HTTP)
说的更具体一点,google正鼓励用户代理供应商通过分阶段的方式来实现产品在用户需求和设计上的改变。 Google的这一新举措将会使更多的网站选择HTTPS的加密,因为通过加密,你的网站在google搜索引擎的排名就会越靠前,而这也意味着你的网站将会获得更多的流量。公告上还称,google将在2015年开始实施这一计划。 [参考来源thehackernews,译/Change,转载来自Freebuf.COM]
|