Google正在繼續(xù)推動(dòng)通用加密,要求所有45個(gè)頂級域名(TLD)在其控制下進(jìn)行安全連接。頂級域名是URL(.com、.org、.net、.gov、.int、.edu等)后綴結(jié)尾的域名。為了確保其所有45個(gè)頂級域名,Google將使用HSTS或HTTP嚴(yán)格的運(yùn)輸安全。
自從至少在2010年將Gmail移動(dòng)到HTTPS時(shí),Google一直在推動(dòng)通用加密或HTTPSEverywhere。從去年開始對個(gè)人網(wǎng)站的SSL證書及加密進(jìn)行施壓。從2018年開始,每當(dāng)有人訪問仍然通過HTTP服務(wù)的網(wǎng)站時(shí),Google會在地址欄中放置一個(gè)“不安全”的指示。
什么是HTTPS嚴(yán)格傳輸安全
HSTS是一種機(jī)制,強(qiáng)制Web瀏覽器只通過HTTPS連接到您的網(wǎng)站。有一些稱為HSTS預(yù)加載列表的東西,它自動(dòng)存儲在瀏覽器中,并告訴他們自動(dòng)執(zhí)行HTTPS連接。這增加了一層安全性,因?yàn)樗乐菇导壒簟?/p>
當(dāng)瀏覽器收到一個(gè)網(wǎng)站的HSTS-意味著網(wǎng)站所有者已啟用HTTP嚴(yán)格傳輸安全-它更新其HSTS列表,以便HTTP連接永遠(yuǎn)不會遭到重置。但是,在瀏覽器收到Header之前,你仍然很容易受到攻擊。因此HSTS仍是存在瑕疵的。
不過Google已基本上為其所有頂級域名解決了這個(gè)問題。
將所有頂級域名放在HSTS預(yù)載列表上的優(yōu)點(diǎn)是什么
HSTS預(yù)加載列表可以包含域,子域和頂級域名。直到2015年,沒有人嘗試添加頂級域名,Google添加了同名的.google。現(xiàn)在它增加了其他44個(gè)頂級域名。這有很多優(yōu)點(diǎn)。
通過將所有頂級域名置于列表中,瀏覽器將自動(dòng)執(zhí)行與該頂級域名的任何域的HTTPS連接-只要它們已安裝了SSL證書。這可以防止用戶嘗試進(jìn)行首次連接時(shí)發(fā)生攻擊的任何風(fēng)險(xiǎn),因?yàn)槟J(rèn)情況下,該域已經(jīng)在頂級域名級別的預(yù)載列表中。
然而,獲取HSTS預(yù)載列表可能需要幾個(gè)月的時(shí)間。將自家頂級域名放進(jìn)預(yù)加載列表,算是Google對其他網(wǎng)站擁有者的貼心之舉。作為域名注冊商,它也更具吸引力。當(dāng)然,這些頂級域名中只有三個(gè)是活躍的-.google,.how和.soy,第四個(gè).app,即將上線。
Google的這一做法可能會形成一個(gè)趨勢。隨著SSL迅速成為需求,增強(qiáng)你的SSL產(chǎn)品(例如,保證HSTS預(yù)加載列表中的一個(gè)位置)將會比以往更重要。我們期待看到更多的域名注冊商將整個(gè)頂級域名添加到列表中。
京公網(wǎng)安備 11010502049343號