?這次可能真要和HTTP說(shuō)再見(jiàn)了

大家好，我是 ConardLi。

就在 8.16 號(hào)，Chromium 官方博客宣布了未來(lái)將嘗試將所有的網(wǎng)站協(xié)議默認(rèn)導(dǎo)向 HTTPS (就算用戶(hù)主動(dòng)使用 HTTP 訪(fǎng)問(wèn)也會(huì)如此) ，目前已經(jīng)在 Chrome 115 版本開(kāi)啟了試驗(yàn)。

大家應(yīng)該能感覺(jué)的到，在過(guò)去的幾年中大部分網(wǎng)站都在將 HTTP 協(xié)議轉(zhuǎn)向 HTTPS ，因?yàn)?HTTP 協(xié)議在網(wǎng)絡(luò)上是明文傳輸?shù)?，在網(wǎng)上很容易被劫持或篡改，而 HTTPS 協(xié)議可以保障請(qǐng)求數(shù)據(jù)的加密傳輸。

根據(jù) Chrome 的統(tǒng)計(jì)，超過(guò) 90% 的用戶(hù)已經(jīng)開(kāi)始使用 HTTPS 協(xié)議瀏覽網(wǎng)站。

各大平臺(tái)使用 HTTPS 協(xié)議的占比：

使用 HTTPS 協(xié)議瀏覽時(shí)間占比：

排名前 100 的網(wǎng)站默認(rèn)啟用 HTTPS 協(xié)議，以及支持 HTTPS 協(xié)議的網(wǎng)站數(shù)量：

這意味著，當(dāng)前大多數(shù)的網(wǎng)站流量都經(jīng)過(guò)了加密和身份驗(yàn)證，可以免受一些黑客的網(wǎng)絡(luò)攻擊。但是，現(xiàn)在仍有 5-10% 的流量頑固地保留在 HTTP 上，從而讓攻擊者能夠竊聽(tīng)或更改這些請(qǐng)求的數(shù)據(jù)。

當(dāng)與網(wǎng)站的連接不安全時(shí)，Chrome 會(huì)在地址欄中顯示警告，但這是遠(yuǎn)遠(yuǎn)不夠的，很多人都不會(huì)注意到，而且就算注意到可能數(shù)據(jù)已經(jīng)被攻擊過(guò)了。

一個(gè)好的網(wǎng)絡(luò)環(huán)境應(yīng)該是默認(rèn)安全的，HTTPS 優(yōu)先模式可以讓 Chrome 能夠在不安全地連接到網(wǎng)站之前獲得我們的明確許可，從而兌現(xiàn)這一承諾。

Chrome 的目標(biāo)是最終默認(rèn)為每個(gè)用戶(hù)都啟用這個(gè)模式。雖然很多網(wǎng)站可能還沒(méi)有準(zhǔn)備好默認(rèn)啟用 HTTPS 優(yōu)先模式（比如網(wǎng)站如果沒(méi)有正確配置 TLS 證書(shū)，使用 HTTPS 訪(fǎng)問(wèn)直接就掛掉了），所以下面 Chrome 將會(huì)啟用幾個(gè)過(guò)渡能力。

HTTPS 自動(dòng)升級(jí)

Chrome 會(huì)自動(dòng)將所有 http:// 協(xié)議的訪(fǎng)問(wèn)默認(rèn)升級(jí)為 https://，即使我們明確使用了 http:// 協(xié)議去訪(fǎng)問(wèn)網(wǎng)站。

這其實(shí)和 HSTS（一個(gè) HTTP Header ：Strict-Transport-Security ，會(huì)講所有的 HTTP 流量默認(rèn)轉(zhuǎn)向 HTTPS） 的原理非常相似，你可以理解成給所有的網(wǎng)站都默認(rèn)加了 HSTS 。

但它比 HSTS 更友好一點(diǎn)，Chrome 會(huì)檢測(cè)這些默認(rèn)的升級(jí)是不是會(huì)失敗（例如，由于網(wǎng)站提供了無(wú)效的證書(shū)或返回 HTTP 404），然后自動(dòng)回退到 http://。這個(gè)更改可以確保 Chrome 僅在 HTTPS 確實(shí)不可用時(shí)才使用不安全的 HTTP，而不是因?yàn)槲覀凕c(diǎn)擊了過(guò)時(shí)的不安全鏈接。目前 Chrome 115 版本正在試驗(yàn)這一更改，并且努力標(biāo)準(zhǔn)化整個(gè)網(wǎng)絡(luò)的行為，可能很快就會(huì)對(duì)所有網(wǎng)站默認(rèn)開(kāi)啟了。

雖然這個(gè)更改也沒(méi)有辦法完全防范主動(dòng)的網(wǎng)絡(luò)攻擊，但它是我們邁向 HTTPS-First 模式的踏腳石，并且可以保護(hù)更多的流量免受被動(dòng)的網(wǎng)絡(luò)竊聽(tīng)和篡改。

不安全下載文件警告

目前，Chrome 已經(jīng)刪除了對(duì)混合下載（HTTPS 協(xié)議的網(wǎng)站下下載 HTTP 的內(nèi)容）的支持。

然后， Chrome 將在通過(guò)不安全的連接下載任何高風(fēng)險(xiǎn)文件之前開(kāi)始顯示警告。下載的文件可能包含繞過(guò) Chrome 沙箱和其他保護(hù)的惡意代碼，當(dāng)發(fā)生不安全的下載時(shí)，網(wǎng)絡(luò)攻擊者可能會(huì)危害你的計(jì)算機(jī)。

這個(gè)警告其實(shí)還是告知大家正在承擔(dān)的安全風(fēng)險(xiǎn)。如果你愿意承擔(dān)風(fēng)險(xiǎn)，仍然可以下載這個(gè)文件。

在啟用 HTTPS-First 模式之前，Chrome 在不安全下載圖像、音頻或視頻等文件時(shí)不會(huì)顯示警告，因?yàn)檫@些文件類(lèi)型相對(duì)安全，不過(guò)預(yù)計(jì)從 9 月中旬這些文件類(lèi)型也會(huì)開(kāi)始警告。

逐步推出 HTTPS-First 模式

因?yàn)檎麄€(gè)網(wǎng)絡(luò)最終的目標(biāo)還是為所有人都啟用 HTTPS-First 模式，但是為了把影響降低到最小，可能先在下面的領(lǐng)域逐步推出：

已注冊(cè) Google 高級(jí)保護(hù)計(jì)劃并登錄 Chrome 的用戶(hù)啟用 HTTPS-First 模式；

即將在隱身模式下默認(rèn)啟用 HTTPS-First 模式；

正在探索為很少使用 HTTP 協(xié)議的部分用戶(hù)自動(dòng)啟用 HTTPS-First 模式；

如果你想馬上享受最安全的網(wǎng)絡(luò)環(huán)境，也可以到 chrome://settings/security 啟用 Always use secure connections 來(lái)啟用 HTTPS-First 模式～

最后

祝愿整個(gè)網(wǎng)絡(luò)環(huán)境中再無(wú) HTTP ！ 再無(wú)劫持、篡改、竊聽(tīng) ～