Google 正式拋棄 HTTP！

300本計(jì)算機(jī)編程的經(jīng)典書(shū)籍下載

AI全套：Python3+TensorFlow打造人臉識(shí)別智能小程序

最新人工智能資料-Google工程師親授 Tensorflow－入門到進(jìn)階

Java架構(gòu)全階段七期完整

黑馬頭條項(xiàng)目 - Java Springboot2.0（視頻、資料、代碼和講義）14天完整版

來(lái)自谷歌官方博客的最新消息顯示，谷歌今日宣布，今年7月起，Chrome瀏覽器的地址欄將把所有HTTP標(biāo)示為不安全網(wǎng)站。這是谷歌瀏覽器針對(duì)HTTP網(wǎng)站開(kāi)戰(zhàn)的第三步棋。

HTTPS是HTTP協(xié)議的升級(jí)版本，更為安全可靠?；ヂ?lián)網(wǎng)用戶和網(wǎng)站之間的安全連接協(xié)議被視為減少用戶風(fēng)險(xiǎn)的必要措施，否則用戶可能遭受竊聽(tīng)、中間人攻擊或數(shù)據(jù)篡改。

數(shù)年來(lái)，谷歌一直力推HTTPS協(xié)議，去年它更是加快推進(jìn)速度，對(duì)Chrome的用戶界面做出了一些改變。

2017年1月發(fā)布的Chrome 56瀏覽器開(kāi)始把收集密碼或信用卡數(shù)據(jù)的HTTP頁(yè)面標(biāo)記為“不安全”。若用戶使用2017年10月推出的Chrome 62，帶有輸入數(shù)據(jù)的HTTP頁(yè)面和所有以無(wú)痕模式瀏覽的HTTP頁(yè)面都會(huì)被標(biāo)記為“不安全”。

圖片來(lái)源：9TO5Google

這些措施的成效很明顯。谷歌和Mac生態(tài)系統(tǒng)中，Chrome瀏覽器超過(guò)78%的流量都在使用HTTPS。而Android和Windows生態(tài)系統(tǒng)中，Chrome的68%流量來(lái)自HTTPS。但谷歌還未止步。

今年7月發(fā)布的Chrome 68會(huì)在地址欄中這么顯示：

對(duì)于這一變化，谷歌解釋道：

Chrome新界面將幫助用戶了解所有的HTTP網(wǎng)站都是不安全的，從而采用安全的HTTPS網(wǎng)站。HTTPS比以往任何時(shí)候都更便利、更便宜，它帶來(lái)了性能提升和強(qiáng)大的新功能，這些都是HTTP所沒(méi)有的。

Chrome目前以黑色字體標(biāo)示“不安全”字樣，最終谷歌會(huì)把“不安全”標(biāo)為紅色，并在旁邊添加表示警告的紅圖標(biāo)，為的是進(jìn)一步強(qiáng)調(diào)HTTP網(wǎng)站不應(yīng)被信任。

谷歌也公開(kāi)了最新版本的Lighthouse，這是一種自動(dòng)化的網(wǎng)站性能評(píng)測(cè)工具，可提供內(nèi)容審查功能來(lái)幫助開(kāi)發(fā)者轉(zhuǎn)移至HTTPS網(wǎng)站。這一新工具會(huì)向開(kāi)發(fā)者顯示哪些網(wǎng)站來(lái)源在使用HTTP，哪些網(wǎng)站僅僅通過(guò)改變子資源參考就可以升級(jí)到HTTPS版本。

近年來(lái)，已經(jīng)有越來(lái)越多的第三方服務(wù)開(kāi)始推薦甚至是強(qiáng)制要求使用 HTTPS 連接方式，比如現(xiàn)在用得特別多的微信登錄、微信支付、短信驗(yàn)證碼、地圖 API 等等，又比如蘋果公司 2016 年在 WWDC 上宣稱，公司希望官方應(yīng)用商店中的所有 iOS App 都使用安全的 HTTPS 鏈接與服務(wù)器進(jìn)行通信，并表示 2017 年 1 月 1 日起，蘋果 App Store 中的所有 App 都必須啟用 ATS 安全功能——雖然后續(xù)因?yàn)橐恍┪粗蚨鴷壕徚耍@也傳遞了一種信號(hào)：越來(lái)越多的第三方服務(wù)下，在不久的將來(lái)可能都會(huì)強(qiáng)制要求使用 HTTPS 協(xié)議，這只是時(shí)間問(wèn)題而已。

那為什么越來(lái)越多的 HTTP 都在逐漸 HTTPS 化？HTTP 協(xié)議（超文本傳輸協(xié)議）是客戶端瀏覽器或其他程序與 Web 服務(wù)器之間的應(yīng)用層通信協(xié)議；HTTPS 協(xié)議可以理解為 HTTP+SSL/TLS， 即 HTTP 下加入 SSL 層，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細(xì)內(nèi)容就需要 SSL，用于安全的 HTTP 數(shù)據(jù)傳輸。

圖片來(lái)源于網(wǎng)絡(luò)

誠(chéng)然，HTTP 具有高效便捷的優(yōu)勢(shì)，但也面臨著竊聽(tīng)、篡改、冒充等傳輸風(fēng)險(xiǎn)，相比之下，HTTPS 協(xié)議增加了很多握手、加密解密等流程，雖然過(guò)程很復(fù)雜，但其可以保證數(shù)據(jù)傳輸?shù)陌踩?，所以在這個(gè)互聯(lián)網(wǎng)快速迭代的時(shí)代下，HTTPS 越來(lái)越受追捧。

谷歌作為科技巨頭之一，在這一方面也不例外。為了保證數(shù)據(jù)安全，谷歌很早就啟用了 HTTPS 協(xié)議，并且近年來(lái)動(dòng)作不斷。2017 年 1 月，Chrome 56 就開(kāi)始突出標(biāo)記一些涉及密碼、信用卡及其他敏感信息的不安全 HTTP 站點(diǎn)；2017 年 10 月，Chrome 62 又開(kāi)始標(biāo)記一些帶有輸入數(shù)據(jù)的 HTTP 頁(yè)面和所有以無(wú)痕模式瀏覽的 HTTP 頁(yè)面。

谷歌的這些措施也確實(shí)卓有成效，在谷歌和 Mac 生態(tài)系統(tǒng)中，Chrome 瀏覽器超過(guò) 78% 的流量都在使用 HTTPS；在 Android 和 Windows 生態(tài)系統(tǒng)中，Chrome 的 68% 流量也來(lái)自 HTTPS；此外，前 100 名的網(wǎng)站中有 81 個(gè)都在默認(rèn)使用 HTTPS，絕大多數(shù) Chrome 流量都已加密。

此次谷歌發(fā)布的最新博客消息，是其大力推行 HTTPS 的又一動(dòng)作：計(jì)劃在今年 7 月發(fā)布的 Chrome 68 版本上標(biāo)記所有的 HTTP 頁(yè)面，也就意味著谷歌將啟用全站 HTTPS，并且計(jì)劃在地址欄中顯示如下內(nèi)容：

圖片來(lái)源：Chromium Blog

Chrome 安全產(chǎn)品經(jīng)理 Emily Schechter 在博客中同樣還提到了，“根據(jù)網(wǎng)站已經(jīng)轉(zhuǎn)移到 HTTPS 的速度以及今年的強(qiáng)勁走勢(shì)，我們認(rèn)為 7 月份將足夠讓我們可以標(biāo)記所有的 HTTP 站點(diǎn)”。

事實(shí)上，除去谷歌，其他一些互聯(lián)網(wǎng)公司也進(jìn)行了自己的 HTTPS 實(shí)現(xiàn)，比如當(dāng)前國(guó)內(nèi)炒的很火熱的微信小程序也要求必須使用 HTTPS 協(xié)議；新一代 HTTP/2 協(xié)議的支持必須以 HTTPS 為基礎(chǔ)等等。因此想必在不久的將來(lái)，全網(wǎng) HTTPS 勢(shì)在必行。

參考資料：

• http://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html

• https://9to5google.com/2018/02/08/google-chrome-70-http-not-secure/

• https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl

• https://www.sohu.com/a/203610693_554061

• https://www.cnblogs.com/zhangqie/p/8383508.html