Chrome瀏覽器新增網(wǎng)站默認安全策略，網(wǎng)友褒貶不一

發(fā)布時間：2024-03-07

google 近日在博客中宣布，當(dāng)用戶在地址欄中輸入一個 url 而不指定協(xié)議時，并且正在訪問的網(wǎng)站已經(jīng)支持 https，那么 chrome 將默認使用更安全的 https（類似于大家熟知的 https everywhere 瀏覽器擴展的操作）。
新的默認設(shè)置將率先登陸桌面版和 android 版的 chrome 瀏覽器，隨后才會推出到 ios 上的 chrome 瀏覽器。
以往在默認情況下，當(dāng)用戶在 chrome 地址欄中輸入不完整的網(wǎng)址時（例如 oschina.net），chrome 會事先通過 http 來加載域名。畢竟大部分用戶為了節(jié)省時間并不會將 https:// 這樣的協(xié)議一同輸入地址欄。而作為 chrome 90 更新內(nèi)容的一部分，google 將會改變這種情況。
https 協(xié)議會對網(wǎng)絡(luò)上傳輸?shù)娜魏涡畔⑦M行加密，以抵御潛在的攻擊，因此安全性更有保障，目前主流網(wǎng)站均已支持該協(xié)議。當(dāng)然，如果一個網(wǎng)站本身就不支持 https，瀏覽器將切換到 http 以代替。不過 chrome 仍然會提醒你訪問 http 網(wǎng)站的風(fēng)險。
除了更加安全之外，這一變化還將減少加載時間，因為它繞過了一些已經(jīng)支持 https 協(xié)議的網(wǎng)站從 http 到 https 的重定向。
當(dāng)然也有網(wǎng)友提出異議：一個網(wǎng)站如果僅僅因為被https保護就完全信任它，是不合理的。
數(shù)年前，知名wordpress安全公司wordfence發(fā)現(xiàn)，證書頒發(fā)機構(gòu)（ca）向冒充其他網(wǎng)站的釣魚網(wǎng)站頒發(fā)了ssl證書。因為這些證書是有效的，所以即使它們是釣魚網(wǎng)站，chrome仍然會將這些網(wǎng)站報告為安全的網(wǎng)站。
當(dāng)然，ca不應(yīng)該向這些虛假網(wǎng)站頒發(fā)證書，然而事件已經(jīng)發(fā)生了，往者不可諫。據(jù)悉，這個名為let’s encrypt的免費ca，曾被用來為非法使用 “paypal “作為其名稱一部分的釣魚網(wǎng)站創(chuàng)建數(shù)千張ssl證書。
在今天，82.2%的網(wǎng)站已經(jīng)被https保護。大量使用自動發(fā)放的免費dv證書的網(wǎng)絡(luò)攻擊已經(jīng)削弱了互聯(lián)網(wǎng)的可信計算基礎(chǔ)（tcb）。免費dv證書對網(wǎng)絡(luò)安全是一種生存威脅。