Google Chrome 62將更多網頁標示為不安全

2017年10月份的Chrome 62,Google會將更多沒有SSL的HTTP網頁標示為不安全

    2017年1月Chrome第一波將使用http連線、沒有SSL加密保護,又含有敏感資料的網頁標示為不安全,這波推動了SSL的普及,讓很多人開始重視SSL;Google為了達成最終的目的,將在10月份發佈的Chrome 62進一步推SSL普及,將更多性質的HTTP網頁標示為不安全。

 

這邊先說Google將於Chrome 62採取的作法:當網站使用http (non-SSL)連線,又碰到下面兩種頁面時,網址列會標示為不安全

  1. 網頁內容有資料輸入欄位
  2. 使用無痕模式瀏覽

第一個有資料輸入欄位部份目前可以確定姓名、地址、電話、Email等欄位一定會有警告,留言、搜尋框不確定,但我認為一樣會被標示不安全警告。

第二個無痕模式則很確定,無痕模式底下所有http網站一律都會被標示為不安全,不論有沒有任何資料輸入的部份。

 

Chrome 56是Google透過Chrome推動SSL普及的第一步

Chrome 62是第二步

接下來一定還會有第三步,我猜測第三步有可能是將無痕模式的警告,轉變為所有模式;Google 1月推動第一步,4月就公告第二步措施,10月實施,可能會在明年2018年2月、3月公佈第三步作法。

看第三步內容會不會有第四階段出現。

 

底下為Google 2017/04/27 公告文章翻譯

原文在此:Chromium Blog logo Chromium Blog

Next steps toward more connection security邁向更安全的下一步

 

    2017年1月份,我們開始藉由Chrome推動SSL安全網頁瀏覽,Chrome現在已經將使用http連線(無論是否無痕模式),且內容會有密碼、信用卡輸入的網頁顯示不安全警告的警告。

 

 2017/10 Chrome 62將更多http網頁標示為不安全

2017/10 Chrome 將有輸入資料及無痕模式的http網頁標示為不安全。

 

    Google藉由Chrome推動SSL普及的計畫正在逐步進行中。從我們在Chrome推動"不安全"警告標示的計畫以來,有密碼或信用卡輸入畫面的http網頁已經減少了23%,我們認為已經可以進入到下一個階段。

    需要保護的個人隱私資料不只密碼、信用卡號碼而已,使用者在網路上輸入的所有資料都不應該被別人截取獲得,因此從Chrome 62 開始,如果網頁有任何輸入資料的欄位,且使用者是透過http連線,Chrome將顯示"不安全"的警告。

 

Chrome 將輸入資料的http網頁標示為不安全

Chrome 62將http連線,且有輸入資料欄位的網頁標示為不安全

 

    當使用者透過Chrome無痕模式瀏覽網站,代表她希望獲得更高的隱私保障。但是沒有SSL保護的http連線並沒有加密保護,無法保障使用者的隱私安全,因此在Chrome 62 無痕模式瀏覽狀態下,所有的 http (non-SSL)網頁都會顯示"不安全"警告。

    最終,不論普通模式或者無痕模式,我們打算將所有http網頁都標示為紅色的不安全警告。我們將在未來的版本逐漸推動這個想法,不要當網站被標示成不安全之後才開始轉移到https!HTTPS已經比以網任何時候都還要更便宜且更容易使用,可以提供很好的網路傳輸性能,也可以保護我們的隱私資料。立刻開始使用HTTPS連線,請參考我們的設置指南

 

結論

    Google認為網路使用者的資訊安全是非常基本且重要的,所以希望所有的網站都能夠使用HTTPS連線,目前Google透過搜尋引擎排名要素(網站有SSL,SEO會加分),以及Chrome的安全警告這兩個方式來推動SSL。過去大多只有金流、信用卡、以及帳號密碼的登入頁面會特別使用SSL連線,但是隨著安全、隱私意識抬頭,SSL已經不只是網站SEF的基本配備,Google認為安全的網路瀏覽,也可以增加UX感受,對網站主也是一個優勢,現在很多虛擬主機hosting都有提供免費SSL,AWS雲端主機Let's Encrypt也有提供免費的SSL,網站安裝SSL,採用https連線已經不是很大的問題,也不會增加額外的成本,希望仍然使用http的網站主,能夠選擇適合自己網站類型的SSL,請立即評估現在的網站狀況,列出https轉換工作,並立即執行。Google推動https的最終計畫很可能會讓http網站流量整個消失。