据国外媒体信息透露,Google拟定计划联合全球各大主流浏览器(Chrome、Firfox、Safari、Internet Explorer、Edge和Opera)启动HSTS预置名单,对常用网站的顶级域名采取强制执行HTTPS安全连接。(顶级域名是指URL以.com、.org、.net、.gov、.int、.edu为后缀结尾的域名。)
近年来,Google一直在推进HTTPS加密协议,希望互联网能达到无处不加密的理想安全状态。今年年初,谷歌开始逐步实施将HTTP页面标记“不安全”的计划。10月开始这一措施再次加大力度,对含有文本输入表单的HTTP页面标记“不安全”,并将对隐身模式下的所有HTTP页面标记“不安全”。如果网站仍旧使用HTTP访问时,Google会在地址栏中放置一个“不安全”的指示。
什么是HSTS?
HSTS的全称是HTTP Strict-Transport-Security,即:“HTTP严格传输安全”。它是一个Web安全策略机制(web security policy mechanism),强制客户端(如浏览器)使用HTTPS与服务器创建连接。
采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户每一次访问的都是该网站的安全版本。但是大前提是所有的域名都已正确部署SSL证书。
HSTS的工作机制
服务器端配置支持HSTS后,会在给客户端返回的HTTP首部中携带HSTS字段。客户端获取到该信息后,会将所有HTTP访问请求在内部做307跳转到HTTPS,整个过程而无需任何网络过程,也就是直接实现第一次TCP握手开始就是HTTPS通信。
HSTS的作用
HSTS的作用除了节省HTTPS通信RT和强制使用HTTPS,还包括:
- 阻止基于SSLStrip的中间人攻击;
- 万一证书有错误,则显示错误,用户不能回避警告。
HSTS预加载列表可以包含域、子域和顶级域名。将所有顶级域名置于列表中,浏览器将自动启动与其相关的任何域的HTTPS连接。在默认情况下,如果域已经在顶级域名级别的预载列表中,那么用户尝试进行首次连接时,可以避免不安全的攻击风险。
目前,Google将添加了同名的.google,增加了其他44个顶级域名到HSTS预加载列表。在其控制下执行HSTS机制,强制跳转HTTPS加密安全连接。如用户访问http://gamail.com,浏览器就是自动转到https://gamail.com安全模式访问。
相信不久的将来,HSTS会成为网络安全的重要趋势。未来越来越多的域名注册商将顶级域名添加到HSTS预加载列表,因此SSL证书部署HTTPS加密协议的日益需求将比以往更加紧迫。数安时代(GDCA)是国内颁发SSL证书的权威机构,并已通过WEBTRUST国际认证,具备了国际化的电子认证服务能力。其旗下的SSL证书达数十种类型,确保国内的企业或个人用户都能根据自主的需求选择最佳的HTTPS解决方案。
