你的網站https了嗎?10月Chrome 62 Google會將更多沒有SSL的網站標示為不安全
- 夢龍筆記
- 網路經營
2017年10月份的Chrome 62,Google會將更多沒有SSL的HTTP網頁標示為不安全
2017年1月Chrome第一波將使用http連線、沒有SSL加密保護,又含有敏感資料的網頁標示為不安全,這波推動了SSL的普及,讓很多人開始重視SSL;Google為了達成最終的目的,將在10月份發佈的Chrome 62進一步推SSL普及,將更多性質的HTTP網頁標示為不安全。
這邊先說Google將於Chrome 62採取的作法:當網站使用http (non-SSL)連線,又碰到下面兩種頁面時,網址列會標示為不安全
- 網頁內容有資料輸入欄位
- 使用無痕模式瀏覽
第一個有資料輸入欄位部份目前可以確定姓名、地址、電話、Email等欄位一定會有警告,留言、搜尋框不確定,但我認為一樣會被標示不安全警告。
第二個無痕模式則很確定,無痕模式底下所有http網站一律都會被標示為不安全,不論有沒有任何資料輸入的部份。
Chrome 56是Google透過Chrome推動SSL普及的第一步
Chrome 62是第二步
接下來一定還會有第三步,我猜測第三步有可能是將無痕模式的警告,轉變為所有模式;Google 1月推動第一步,4月就公告第二步措施,10月實施,可能會在明年2018年2月、3月公佈第三步作法。
看第三步內容會不會有第四階段出現。
底下為Google 2017/04/27 公告文章翻譯
原文在此: Chromium Blog:
Next steps toward more connection security邁向更安全的下一步
2017年1月份,我們開始藉由Chrome推動SSL安全網頁瀏覽,Chrome現在已經將使用http連線(無論是否無痕模式),且內容會有密碼、信用卡輸入的網頁顯示的警告。
Google藉由Chrome推動SSL普及的計畫正在逐步進行中。從我們在Chrome推動"不安全"警告標示的計畫以來,有密碼或信用卡輸入畫面的http網頁已經減少了23%,我們認為已經可以進入到下一個階段。
需要保護的個人隱私資料不只密碼、信用卡號碼而已,使用者在網路上輸入的所有資料都不應該被別人截取獲得,因此從Chrome 62 開始,如果網頁有任何輸入資料的欄位,且使用者是透過http連線,Chrome將顯示"不安全"的警告。
當使用者透過Chrome無痕模式瀏覽網站,代表她希望獲得更高的隱私保障。但是沒有SSL保護的http連線並沒有加密保護,無法保障使用者的隱私安全,因此在Chrome 62 無痕模式瀏覽狀態下,所有的 http (non-SSL)網頁都會顯示"不安全"警告。
最終,不論普通模式或者無痕模式,我們打算將所有http網頁都標示為。我們將在未來的版本逐漸推動這個想法,不要當網站被標示成不安全之後才開始轉移到https!HTTPS已經比以網任何時候都還要更便宜且更容易使用,可以提供很好的網路傳輸性能,也可以保護我們的隱私資料。立刻開始使用HTTPS連線,請參考我們的設置指南。
結論
Google認為網路使用者的資訊安全是非常基本且重要的,所以希望所有的網站都能夠使用HTTPS連線,目前Google透過搜尋引擎排名要素(網站有SSL,SEO會加分),以及Chrome的安全警告這兩個方式來推動SSL。過去大多只有金流、信用卡、以及帳號密碼的登入頁面會特別使用SSL連線,但是隨著安全、隱私意識抬頭,SSL已經不只是網站SEF的基本配備,Google認為安全的網路瀏覽,也可以增加UX感受,對網站主也是一個優勢,現在很多虛擬主機hosting都有提供免費SSL,AWS雲端主機、Let's Encrypt也有提供免費的SSL,網站安裝SSL,採用https連線已經不是很大的問題,也不會增加額外的成本,希望仍然使用http的網站主,能夠選擇適合自己網站類型的SSL,請立即評估現在的網站狀況,列出https轉換工作,並立即執行。Google推動https的最終計畫很可能會讓http網站流量整個消失。
- 點擊數: 8266