Google正在繼續(xù)推動通用加密�����,要求所有45個(gè)頂級域名(TLD)在其控制下進(jìn)行安全連接�。頂級域名是URL(.com�、.org、.net�、.gov、.int����、.edu等)后綴結(jié)尾的域名。
為了確保其所有45個(gè)頂級域名��,Google將使用HSTS或HTTP嚴(yán)格的運(yùn)輸安全����。
自從至少在2010年將Gmail移動到HTTPS時(shí),Google一直在推動通用加密或HTTPS Everywhere�。從去年開始對個(gè)人網(wǎng)站的SSL證書及加密進(jìn)行施壓。從2018年開始,每當(dāng)有人訪問仍然通過HTTP服務(wù)的網(wǎng)站時(shí)��,Google會在地址欄中放置一個(gè)“不安全”的指示�����。
什么是HTTPS嚴(yán)格傳輸安全
HSTS是一種機(jī)制���,強(qiáng)制Web瀏覽器只通過HTTPS連接到您的網(wǎng)站�����。有一些稱為HSTS預(yù)加載列表的東西,它自動存儲在瀏覽器中���,并告訴他們自動執(zhí)行HTTPS連接���。這增加了一層安全性,因?yàn)樗乐菇导壒簟?/p>
當(dāng)瀏覽器收到一個(gè)網(wǎng)站的HSTS-意味著網(wǎng)站所有者已啟用HTTP嚴(yán)格傳輸安全-它更新其HSTS列表���,以便HTTP連接永遠(yuǎn)不會遭到重置�����。但是���,在瀏覽器收到Header之前��,你仍然很容易受到攻擊����。因此HSTS仍是存在瑕疵的����。
不過Google已基本上為其所有頂級域名解決了這個(gè)問題。
將所有頂級域名放在HSTS預(yù)載列表上的優(yōu)點(diǎn)是什么
HSTS預(yù)加載列表可以包含域����,子域和頂級域名。直到2015年���,沒有人嘗試添加頂級域名�����,Google添加了同名的.google?,F(xiàn)在它增加了其他44個(gè)頂級域名����。這有很多優(yōu)點(diǎn)����。
通過將所有頂級域名置于列表中�����,瀏覽器將自動執(zhí)行與該頂級域名的任何域的HTTPS連接-只要它們已安裝了SSL證書���。這可以防止用戶嘗試進(jìn)行首次連接時(shí)發(fā)生攻擊的任何風(fēng)險(xiǎn)�����,因?yàn)槟J(rèn)情況下,該域已經(jīng)在頂級域名級別的預(yù)載列表中����。
然而,獲取HSTS預(yù)載列表可能需要幾個(gè)月的時(shí)間���。將自家頂級域名放進(jìn)預(yù)加載列表���,算是Google對其他網(wǎng)站擁有者的貼心之舉���。作為域名注冊商,它也更具吸引力��。當(dāng)然��,這些頂級域名中只有三個(gè)是活躍的-.google����,.how和.soy,第四個(gè).app����,即將上線。
Google的這一做法可能會形成一個(gè)趨勢����。隨著SSL迅速成為需求,增強(qiáng)你的SSL產(chǎn)品(例如��,保證HSTS預(yù)加載列表中的一個(gè)位置)將會比以往更重要�����。我們期待看到更多的域名注冊商將整個(gè)頂級域名添加到列表中�。
