Google 正在推广 HTTPS

  • Manuel Pais
  • Rays

2016 年 12 月 19 日

话题:安全CDNDevOps

Google 已将现有 Chrome 特性在非安全站点上禁用,同时新的特性将只支持 HTTPS,意在推进 HTTPS 的普及。Chrome 浏览器自 50 版本以后已禁止通过 HTTP 做地理定位和使用getUserMedia功能(该功能可访问用户的摄像头或话筒),并即将实施对加密媒体扩展应用缓存、设备移动 / 方向检测等特性的限制。该做法的合理之处在于,所有这些特性都涉及敏感数据,如没有采用 HTTPS,这些敏感数据在传输时将会曝露于易受攻击的 Web 环境当中。禁用其余特性的时间表依然处于讨论中

同样,一些最新的特性也可能受到攻击,它们将只支持 HTTPS。例如Service WorkersPush Notifications和向手机桌面添加网站快捷方式(所有这些功能源自原生的移动应用,现被广泛应用于Progressive Web Apps中)。此外还包括信用卡信息的自动填充和最新推出的支付请求 API

除了上述开发者特性,Google 还尝试通过改进浏览体验提升安全意识。例如,如果页面中包含了不安全的表单,使用了“非安全”的字符串来请求金融或敏感信息,Chrome 将会给出明确的提示信息(这是 56 版本的功能,计划于 2017 年 1 月推出)。有兴趣的组织可以通过设置Chrome Canary 版的 #mark-non-secure-as 标识预览用户界面上所发生的变化。

最近一些进展让 HTTPS 的迁移变得很顺畅。最近在阿姆斯特丹召开的第一届 O'Reilly 安全大会上,Google Chrome 安全产品经理Emily Schechter演讲中高度评价了Let's EncryptCloudFlare最新提供的服务的重要性。Let's Encrypt 使用赞助和众筹模式提供免费证书以及自动安装程序(其重要性如今在 DevOps 领域与日俱增),这种模式得到著名的 Coding Horror 博主 Jeff Atwood 的大力支持。CloudFlare 是一家CDN提供商,现在提供了免费的 SSL 链接,让更多的人用得起。

总而言之,Schechter 的演讲给出了十分真实的 HTTPS 业务案例,强调 HTTPS 是所有网站的最低安全等级,并提供证据表明大部分HTTPS 的传统挑战已不再适用。

一些组织已接受建议迁移到 HTTPS,其中包括卫报BBC,这在某种程度上可归因于 Google 的推动。Schechter 在演讲中还引用了其它的成功案例,例如Housing.comAliExpress,HTTPS 不仅改进了安全性,而且基于使用仅支持 HTTPS 的特性,切实地提高了用户转化率(还应考虑到 Google 的 SEO 算法将优先对待 HTTPS 内容)。

ChromeFirefox所给出的数据都表明,现在全世界范围内超过一半的网页采用了 HTTPS。

查看英文原文:Google Pushing for HTTPS


感谢薛命灯对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

安全CDNDevOps