谷歌多年来一直在积极推动 HTTPS 的全面普及,近日又宣布了一项针对 Chrome 的改进——默认启用 HTTPS-first。
谷歌称目前 5-10% 的网络流量仍为 HTTP,这带来了网络攻击的安全风险。虽然 Chrome 在用户访问非 HTTPS 页面时会显示警告。但谷歌表示,有些人仍会忽略通知,从而受到安全威胁。
谷歌认为,解决 HTTP 问题的正确方法是启用 HTTPS-First 模式。启用后,该功能会告诉浏览器自动将所有 http:// 升级为 https://。即使用户单击的链接是 HTTP URL,该模式也会生效。
根据介绍,启用 HTTPS-first 后,浏览器会自动将网页上的所有 HTTP 链接升级为 HTTPS,而不会损害用户的隐私和安全。当网站无法访问并导致 HTTP 404 错误或无效证书时,即如果该网站根本不支持 HTTPS,Chrome 会将其视为升级失败,并快速回退到 HTTP 以继续访问网站。
这种机制可确保用户仅在 HTTPS 版本不可用时访问 HTTP 域,并免受其他可能过时或不安全的 HTTP 链接的影响。
此外,HTTPS-first 与 HTTPS-Only 略有不同。对于后者,当浏览器尝试访问启用 HTTPS 的网站时,它仍然可能向服务器发送 HTTP 请求,这显然是不安全的。在配置其域来处理重定向请求后,具有旧 HTTP 链接并支持 HTTPS 的站点可以选择加入 HTTP 严格传输安全 (HSTS) 预加载列表。
延伸阅读
- Google Chrome 浏览器将默认采用 HTTPS
- 落后近两年,Brave 将默认启用 HTTPS