从HTTP向HTTPS迁移,Chrome浏览器的UI变化
常使用Chrome浏览器的用户或者从事Web开发的开发人员,相信已经留意到近两年对于“安全UI”的频繁改动。(改动的标识都是为了清晰告诉用户他们访问的页面是否安全的。)
过去的十年里,HTTPS经历了起死回生,因为网络数据大量丢失、隐私数据被窃取等事件近年来不断上升,严重影响全球网络安全。在网络传输协议中,HTTPS的加密功能要比HTTP安全。因此为了进一步推动HTTPS的发展,而Chrome的安全UI根据HTTPS的采用阶段而采取不同的更改。
这种渐进式的变动是为了帮助用户适应不断发展的互联网环境。2014年,Chrome加载的页面大部分仍旧使用HTTP,至今已有75%的页面是通过HTTPS访问的,用户界面正在发生天翻地覆的变化。
Chrome的“安全UI”目前仍未尘埃落定,未来仍会有所变化。尚未部署HTTPS的网站、或仅保护登陆页面的HTTPS网站都必须密切关注。Chrome对HTTP页面发出持续不安全警告,并会做进一步限制其他功能,为了不影响网站的品牌形象,建议尽早完成网站的HTTPS部署。因为其他的主流浏览器也会跟最Chrome的政策,对HTTP进一步的限制。
Chrome68发布最新警告
随着HTTPS的普及,大部分的网站是安全。而Chrome希望将促进HTTPS的安全指标转向对HTTP的不安全指标,向用户强烈标识HTTPS的不安全性。
7月份即将发布Chrome 68就会展现这一功能,将所有的HTTP发出不安全警告。
对于仍在使用HTTP的网站,在Chrome 68的左侧地址栏将会一个“不安全”警告,明确告诉终端用户,这个一个“不安全”的网站。为了避免这个情况,建议广大站长尽快使用SSL证书,为全站正确部署HTTPS。
Chrome69版本以及未来的展示
Chrome 68对HTTP页面添加“不安全”警告,而Chrome 69(预计9月发布)将会开始删除HTTPS页面安全指示标识。
HTTPS中的“Secure”(安全)文本将会在Chrome 69消失。“Secure”标签是2016年增加的安全标识,因为当时HTTPS的使用率远低于HTTP,为了鼓励更多的站点添加HTTPS,Chrome通过“Secure”的友好标签来表达支持HTTPS站点。但最新的用户研究表明,负面标签比正面的强化更有效果,所以Chrome团队希望通过对HTTP的“不安全”标识带替换HTTP的“安全”,警示用户不要在HTTP页面分享任何敏感信息。
未来,Chrome将会对新版本的指标进行调整,下面是接下来的版本变化参考:
即将推出的Chrome UI更改:
全球可信CA机构
