迫在眉睫的截止日期——7月底Chrome新版本更新 ——意味着访问HTTP网站的谷歌浏览器用户将面临不安全警告。

一旦Chrome 68稳定更新于7月23日上线，这些变化将影响访问者。此后任何未使用有效TLS证书运行HTTPS的网页，都会在Chrome地址栏中显示“不安全”警告。该警告将适用于通过Chrome访问的面向互联网的网站和企业/私人内部站点，Chrome浏览器占据了约60％的市场份额。

HTTP不安全，Alexa百万网站默认HTTPS加密达43%

SSL证书公司DigiCert周二发布研究报告称，默认情况下，有43％的Alexa百万网站使用HTTPS，而W3Techs六月调查显示，HTTPS是前1000万网站中35.6％的默认协议。许多规模较小且访问量较少的网站仍可能依赖HTTP。

安全研究员Scott Helme利用网络抓取工具收集前百万个网站上的每日数据。他是HTTPS无处不在的倡导者，并在几个有关该主题的会议上发言。

“7月谷歌Chrome的更新是确保网络使用更安全的重要里程碑，”Helme告诉El Reg。 “我们多年来一直在快速推进加密网络，但在过去的两年中取得了惊人的进步。我一直在跟踪网络上HTTPS的加速采用率，其他独立研究也证实这确实是事实。”

Helme表示，他欢迎最新Chrome版本在本月底发布的变化，因为网站的安全状态将更加明显。如果网站没有HTTPS，访问者将看到直观的警告，不用被迫通过点击挂锁检查网站是否安全。

Helme说：“将HTTP标记为'不安全'的举措也正在遵循简化HTTPS指标的计划，这两种方法齐头并进。” “随着HTTPS变得越来越默认，保持'安全'指示符存在是没有意义的，浏览器应该只有在值得注意的事情发生时告诉我们。未来值得注意的事情是连接变得不安全，而不是它变得安全，证明加密通信已成为期望而不是例外。“

HTTP不安全，HTTPS加密用于保护连接安全

安全顾问Paul Moore添加了一个警告，指出即使HTTPS站点也可能存在漏洞。

“我仍然担心网站是'安全的'只是因为他们部署了TLS。这显然不是谷歌的建议......但是，目标人群（普通大众）不太可能理解这种差异并且可能会使用‘安全’作为描述整个网站的总称，而不是连接本身。”

Chrome更新旨在刺激数百万仍在使用HTTP的网站采用HTTPS。网络在这个方向上已经取得了很大进展，但仍有待完成的工作。 “许多网站需要赶上以避免'不安全'的警告，”DigiCert首席产品官Jeremy Rowley说道。 “我们敦促IT管理员检查他们所关注的网站并部署相应的TLS证书。

“在某些情况下，管理员可能认为他们不需要在所有页面上使用证书，但错误的配置和部署仍会导致Chrome内的警告。”

Ipsos今年早些时候的研究发现，绝大多数（87％）互联网用户如果在网页上看到浏览器警告，将无法完成交易。超过一半（58％）的受访者表示他们会去竞争对手的网站完成购买。欧洲访问者在多个站点面临隐私更新通知，作为律师介导的，可能是引入GDPR的副作用。这是否会对浏览器警告的响应产生任何影响尚不清楚。

虽然Chrome是第一个在非HTTPS网站上部署这种可见警告系统的浏览器，但微软，Apple和Mozilla可能会效仿。 Rowley补充说：“HTTP 2.0在主流浏览器中需要TLS加密。随着主要浏览器迁移到更新的技术，网站将发现SSL/TLS证书部署变得越来越重要。”

 

文章来源：theregister 沃通原创编译，转载请注明来源