?這次可能真要和 HTTP 說再見了

就在 8.16 號，Chromium 官方博客宣布了未來將嘗試將所有的網(wǎng)站協(xié)議默認導向 HTTPS (就算用戶主動使用 HTTP 訪問也會如此) ，目前已經(jīng)在 Chrome 115 版本開啟了試驗。

大家應該能感覺的到，在過去的幾年中大部分網(wǎng)站都在將 HTTP 協(xié)議轉(zhuǎn)向 HTTPS ，因為 HTTP 協(xié)議在網(wǎng)絡上是明文傳輸?shù)?，在網(wǎng)上很容易被劫持或篡改，而 HTTPS 協(xié)議可以保障請求數(shù)據(jù)的加密傳輸。

根據(jù) Chrome 的統(tǒng)計，超過 90% 的用戶已經(jīng)開始使用 HTTPS 協(xié)議瀏覽網(wǎng)站。

各大平臺使用 HTTPS 協(xié)議的占比：

使用 HTTPS 協(xié)議瀏覽時間占比：

排名前 100 的網(wǎng)站默認啟用 HTTPS 協(xié)議，以及支持 HTTPS 協(xié)議的網(wǎng)站數(shù)量：

這意味著，當前大多數(shù)的網(wǎng)站流量都經(jīng)過了加密和身份驗證，可以免受一些黑客的網(wǎng)絡攻擊。但是，現(xiàn)在仍有 5-10% 的流量頑固地保留在 HTTP 上，從而讓攻擊者能夠竊聽或更改這些請求的數(shù)據(jù)。

當與網(wǎng)站的連接不安全時，Chrome 會在地址欄中顯示警告，但這是遠遠不夠的，很多人都不會注意到，而且就算注意到可能數(shù)據(jù)已經(jīng)被攻擊過了。

一個好的網(wǎng)絡環(huán)境應該是默認安全的，HTTPS 優(yōu)先模式可以讓 Chrome 能夠在不安全地連接到網(wǎng)站之前獲得我們的明確許可，從而兌現(xiàn)這一承諾。

Chrome 的目標是最終默認為每個用戶都啟用這個模式。雖然很多網(wǎng)站可能還沒有準備好默認啟用 HTTPS 優(yōu)先模式（比如網(wǎng)站如果沒有正確配置 TLS 證書，使用 HTTPS 訪問直接就掛掉了），所以下面 Chrome 將會啟用幾個過渡能力。

HTTPS 自動升級

Chrome 會自動將所有 http:// 協(xié)議的訪問默認升級為 https://，即使我們明確使用了  http:// 協(xié)議去訪問網(wǎng)站。

這其實和 HSTS（一個 HTTP Header ：Strict-Transport-Security ，會講所有的 HTTP 流量默認轉(zhuǎn)向 HTTPS） 的原理非常相似，你可以理解成給所有的網(wǎng)站都默認加了 HSTS 。

但它比 HSTS 更友好一點，Chrome 會檢測這些默認的升級是不是會失敗（例如，由于網(wǎng)站提供了無效的證書或返回 HTTP 404），然后自動回退到 http://。這個更改可以確保 Chrome 僅在 HTTPS 確實不可用時才使用不安全的 HTTP，而不是因為我們點擊了過時的不安全鏈接。目前 Chrome 115 版本正在試驗這一更改，并且努力標準化整個網(wǎng)絡的行為，可能很快就會對所有網(wǎng)站默認開啟了。

雖然這個更改也沒有辦法完全防范主動的網(wǎng)絡攻擊，但它是我們邁向 HTTPS-First 模式的踏腳石，并且可以保護更多的流量免受被動的網(wǎng)絡竊聽和篡改。

不安全下載文件警告

目前，Chrome 已經(jīng)刪除了對混合下載（HTTPS 協(xié)議的網(wǎng)站下下載 HTTP 的內(nèi)容）的支持。

然后， Chrome 將在通過不安全的連接下載任何高風險文件之前開始顯示警告。下載的文件可能包含繞過 Chrome 沙箱和其他保護的惡意代碼，當發(fā)生不安全的下載時，網(wǎng)絡攻擊者可能會危害你的計算機。

這個警告其實還是告知大家正在承擔的安全風險。如果你愿意承擔風險，仍然可以下載這個文件。

在啟用 HTTPS-First 模式之前，Chrome 在不安全下載圖像、音頻或視頻等文件時不會顯示警告，因為這些文件類型相對安全，不過預計從 9 月中旬這些文件類型也會開始警告。

逐步推出 HTTPS-First 模式

因為整個網(wǎng)絡最終的目標還是為所有人都啟用 HTTPS-First 模式，但是為了把影響降低到最小，可能先在下面的領域逐步推出：

• 已注冊 Google 高級保護計劃并登錄 Chrome 的用戶啟用 HTTPS-First 模式；
• 即將在隱身模式下默認啟用 HTTPS-First 模式；
• 正在探索為很少使用 HTTP 協(xié)議的部分用戶自動啟用 HTTPS-First 模式；

如果你想馬上享受最安全的網(wǎng)絡環(huán)境，也可以到 chrome://settings/security 啟用 Always use secure connections 來啟用 HTTPS-First 模式～

最后

祝愿整個網(wǎng)絡環(huán)境中再無 HTTP ！再無劫持、篡改、竊聽 ～

參考：https://blog.chromium.org/2023/08/towards-https-by-default.html

點贊和在看是最大的支持??????