距离7月24日已剩不到两个月了,全球最受欢迎的浏览器Google Chrome将对没有正确部署SSL证书的加密网站发出全屏警告,有人认为这是Google对HTTP的最终抵制。其实,一场全新涿鹿之战的较量才刚刚开始而已。这场比赛会将安全指标(“secure”标识和绿色安全挂锁)取消,并对不安全标准做出惩罚。
Google的措施
2014年,Google发起“HTTPS Everywhere”计划,希望对整个网络生态环境都进行加密。谷歌认为Web用户应该默认支持HTTPS,抵制不安全HTTP站点。此后,Google多次公开谴责HTTP,支持HTTPS。随着一系列的措施出台,HTTPS的使用率达到前所未有的高度。
Google产品经理Emily Schechter曾在Chrome官方博客上发布:
“一直以来,用户通过浏览器访问网络站点默认是安全的,当遇到不安全的情况才会发出警告。因此我们将会把HTTP页面标记为“不安全”,并逐步移除Chrome的安全标识,最终实现默认的状态是安全的。”
换句话说,网站需要浏览器的积极鼓励,来提升HTTPS的使用率。目前HTTPS已经达到预期的标准,已不需要通过安全标识的形式进行此类的激励,应转向对不安全的警示。
Google采取这一举措是正确的。一般情况下,安全的标识反而会误导普通用户。在看到“secure”和绿色安全挂锁,大部分的用户都认为该站点是安全的,在视觉的效果来说其实这只是表达加密而已,免费的DV SSL就能实现,而这成为了网络钓鱼诈骗的主要成分。
随着大量免费的DV SSL证书颁发,越来越多的钓鱼网站通过免费证书启用HTTPS站点进行钓鱼欺诈。由于网络用户缺乏网络安全知识,因此不少用户被误导钓鱼网站是安全的。
目前有两种方式可以抑制这种情况,就是通过传播专业知识或消除安全标识,并且对不安全站点发出不安全警示来取缔。很明显,对每一个用户传授URL,SSL,加密和网络钓鱼知识并非是一件简单的事,因此Goole选择了第二种方法。
挂锁最终会被取消
Google的目标是希望将HTTPS作为网络安全的基本规范,而Google即将推出的措施是Chrome不再显示任何与HTTPS或加密相关的直接标识,而是对异常站点(HTTP)进行严厉的警告,所以“secure”标识和绿色安全挂锁将会成为历史。2018年9月的推出Chrome 69首先将“secure”标识去掉,下一步就是去除绿色安全挂锁标志,这将标志着将HTTPS建立为标准规范的里程碑。
不安全的警示将更严厉
2017年10月发布的Chrome 62推出一项关于不安全站点的新指标:用户访问非HTTPS网站时,需要输入任何内容都会向其发出警告。
此警告旨在阻止用户访问不安全链接时,输入任何内容或泄露他们个人信息。Chrome 70将于2018年10月发布,届时不安全的警告将更加的严厉、明显。在Chrome 68开始,每个HTTP站点都被标记为“不安全”,如果用户在HTTP页面上输入内容时,Chrome通过对不安全字体变色(灰色变红色)来加强警示。
EV证书和绿色地址栏将发生哪些变化?
首先,谷歌不认为EV SSL证书是防止钓鱼攻击的解决方案。Emily曾说过“EV不是一个防御网络钓鱼攻击的好方法。”但是很多网络安全专家却认为EV SSL证书是防止网络钓鱼和社交
工程攻击的一个良好对策。从另一个角度来看,认证是将EV证书与其他证书区分最明显的特点,但Google似乎并不这么认为。
目前,Chrome加入了一个标志(Chrome://flags/#simplify- httpsindicator),允许用户禁用EV指示器——绿色地址栏。从另一个角度来看,Chrome团队可能会移除EV SSL证书的安全
最后
标记所有HTTP站点,删除安全标志,修改EV 的标识 ……一系列的动作可以看出Google认
为HTTPS的使用已经接近日常规范。换句话说,Google的“https Everywhere”计划已取得成功,因此不再需要激励站点传播HTTPS。相反,反而希望将HTTP站点视为异常,并对它们进行不安全站点处理。
一直以来,谷歌十分重视用户体验,由于大部分用户在Chrome上看到“安全”标志时就 认为是安全的。导致钓鱼网站通过免费的DV SSL展示,进行钓鱼欺诈。
文章由GDCA翻译于thesslstore
閱讀更多 GDCA數安時代 的文章
