Chrome 都对无记录“SSL证书”弹警告了!你的网站竟连HTTPS都没升级 ​

百家 作者:又拍云 2018-05-04 11:27:13

5月伊始,Google就放出两个重磅消息,第一个消息:5月1日开始,Google Chrome浏览器对无记录“SSL证书”弹出警告;第二个消息和域名相关,当年Google花了2500万美元买下.app顶级域名,终于在5月2日开放预注册,5月8日正式开放注册。

对无记录“SSL证书”弹出警告,指的是如果网站所使用的SSL证书未出现在“公共证书透明度”( Certificate Transparency)日志中,Google Chrome浏览器就会出现全屏警告画面。

Google在2016年发起证书透明度,要求所有CA机构在证书透明度日志中公开每天签发的证书,目的在于提供一个开放的监控系统,发现被恶意使用的SSL证书,以及避免错误签发、伪造的SSL证书流入网络,以此来提高 HTTPS网站的安全性。Chrome是第一个支持“证书透明度”日志策略的浏览器,Firefox等主流浏览器也将后续跟进,绝大多数CA都已经支持公开记录证书的政策。

不过,弹窗警告针对今年5月以后颁发的SSL证书,对这之前颁发的SSL证书不起效果。

Google在2012年花费2500万美元买下.app域名的所有权,终于在今年5月开放注册。这个域名除了后缀比较酷炫,另一个独到之处在于这是全球首个需要HTTPS加密的顶级域名。

域名销售商name.com在网站里写了一段话:

.APP is intended to be a secure namespace, so all potential .APP domain owners must secure their website with an SSL certificate. .APP can be purchased just like any other domain, but the connected website will not work properly in browsers until HTTPS has been configured for the site.

大意是:.APP旨在成为安全的域名,因此所有的.APP域名所有者都必须使用SSL证书保护其网站。 .APP可以像任何其他域名一样购买,只有为连接的网站配置了HTTPS,网站才可以在浏览器中正常工作。

两个消息的相通点是:Google从网络安全出发,在不遗余力地普及HTTPS/SSL证书,同时加以规范。在这之前,Google采取了Chrome提示HTTP页面不安全、提升HTTPS页面的搜索权重等方式,不断引导站长、App开发者应用HTTPS/SSL证书。

除了Google、Apple、Mozilla等在普及HTTPS/SSL证书方面起到了不小的作用,比如Apple要求所有上传App Store的App都支持HTTPS加密,Mozilla旗下的Firefox同样对未应用HTTPS的网站提示不安全,甚至是今年大火特火的微信小程序也要求必须支持HTTPS加密。


HTTPS和SSL证书为何物?

说到这里就要简单介绍一下HTTPS,以及为什么要普及HTTPS了。

HTTP的传输特点是明文传输,任何经过HTTP协议传输的数据都是未加密,谁都能看到传输的数据。HTTP明文传输给页面劫持、页面篡改、数据泄露、木马注入等黑客行为提供了便利。

HTTPS则提供了端到端的安全加密,提供数据机密性(加密)、数据完整性(不篡改数据)保护、防重放等安全保护。启用HTTPS之后,网站、App与用户之间传输的数据经过端到端加密,传输过程中无法被偷窥,页面自然也无法被劫持、篡改,也避免了在浏览页面的时候被注入木马。(HTTPS的详细介绍可参看《HTTPS原理详解》)

SSL证书是实现HTTPS加密不可缺少的一环。SSL证书是遵守SSL协议,由受信任CA机构,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

实现网络的高度安全,需要很多环节协同工作,其中最高优先级就是用更安全的HTTPS取代HTTP,因为访问页面是这个用户使用互联网最频繁的动作,这也是Google、Apple、腾讯、Mozilla等不断普及、规范HTTP/SSL证书的动因。


全站HTTPS、靠谱SSL证书,缺一不可

虽然大量互联网企业已经意识到HTTPS的重要性,并在登录、支付等重要页面部署了HTTPS,但仍在犹豫是否有必要全站升级HTTPS。出于安全、数据、跳转、浏览体验等因素,我们强烈推荐全站部署HTTPS,主要有以下几条原因:

● HTTPS拥有更高的用户信息安全度

● 网站存在HTTPS和HTTP两种协议时,搜索可见性降低

● HTTPS可以更准确地传输引用字符串数据

更详细的解释,大家不妨看一下《为什么非全站升级HTTPS不可?》

上文提到,SSL证书是实现HTTPS加密不可缺少的一环。从Google  Chrome浏览器对无记录“SSL证书”弹出警告这个措施来看,SSL证书也存在着错误颁发、伪造、被恶意使用等情况,因此也不能瞎买。

强烈建议购买支持已支持“公共证书透明度”的CA机构颁发的SSL证书。又拍云平台上的SSL证书由Symantec、GeoTrust、Let's Encrypt等知名CA机构颁发。

又拍云平台上的SSL证书有免费、收费证书,按照证书类型还可以分为DV、OV、EV等多种证书。这里推荐阅读《免费SSL&付费SSL证书,该如何选择?》,大家可以根据网站、App的实际需求,选择一款适合自己的证书。

推荐阅读

1.《HTTPS原理详解》(https://tech.upyun.com/article/192/1.html)

2.《为什么非全站升级HTTPS不可?》(https://tech.upyun.com/article/237/1)

3.《免费SSL&付费SSL证书,该如何选择?》(https://tech.upyun.com/article/196/1.html)


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接