谷歌将强制45个顶级域名使用HSTS HTTPS连接

jopen 7年前
   <p style="text-align: center;"><a href="/misc/goto?guid=4958984127719761301" title="Google"><img alt="谷歌将强制45个顶级域名使用HSTS HTTPS连接" src="https://simg.open-open.com/show/1398f098be05592a1001a5275df0b684.png" /></a></p>    <p>Google 正在继续推动通用加密,要求所有 45 个顶级域名(TLD)在其控制下进行安全连接。顶级域名是 URL(.com、.org、.net、.gov、.int、.edu 等)后缀结尾的域名。为了确保其所有 45 个顶级域名,Google 将使用 HSTS 或 HTTP 严格的运输安全。</p>    <p>自从至少在 2010 年将 Gmail 移动到 HTTPS 时,Google 一直在推动通用加密或 HTTPSEverywhere。从去年开始对个人网站的 SSL 证书及加密进行施压。从 2018 年开始,每当有人访问仍然通过 HTTP 服务的网站时,Google 会在地址栏中放置一个“不安全”的指示。</p>    <p><strong>什么是 HTTPS 严格传输安全</strong></p>    <p>HSTS 是一种机制,强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行 HTTPS 连接。这增加了一层安全性,因为它防止降级攻击。</p>    <p>当浏览器收到一个网站的 HSTS-意味着网站所有者已启用 HTTP 严格传输安全-它更新其 HSTS 列表,以便 HTTP 连接永远不会遭到重置。但是,在浏览器收到 Header 之前,你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。</p>    <p>不过 Google 已基本上为其所有顶级域名解决了这个问题。</p>    <p><strong>将所有顶级域名放在 HSTS 预载列表上的优点是什么</strong></p>    <p>HSTS 预加载列表可以包含域,子域和顶级域名。直到 2015 年,没有人尝试添加顶级域名,Google 添加了同名的 .google。现在它增加了其他 44 个顶级域名。这有很多优点。</p>    <p>通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。</p>    <p>然而,获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是 Google 对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的-.google,.how 和 .soy,第四个 .app,即将上线。</p>    <p>Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求,增强你的 SSL 产品(例如,保证 HSTS 预加载列表中的一个位置)将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。</p>    <p>来自: <a href="/misc/goto?guid=4959011267618998790" id="link_source2">cnBeta</a></p>