HTTP 网站在 Chrome 浏览器的死期将近：统统被标记为不安全

Chrome 68 稳定版更新将于7月23日上线，之后未运行 HTTPS 协议但具有有效 TLS 证书的网页将在 Chrome 地址栏中展示“不安全”的警告信息。该警告信息将应用于通过 Chrome 访问的面向互联网的网站和企业/私有内部网站，而这两种网站占据60%的浏览器市场。

SSL 证书公司 DigiCert 周二发布研究结果称，43%的 Alexa 前一百万网站默认使用 HTTPS 协议，而6月份 W3Techs 的调查结果显示，对于 Alex 前一千万站点而言，35.6% 的网站默认使用 HTTPS 协议。很多小型或者访问量低的网站仍然使用 HTTP 协议。

安全研究员 Scott Helme 使用 web 爬虫收集前一百万个站点的日常数据，他提倡全部使用 HTTPS 协议并就该主题在多个安全会议上发表演讲。Helme 指出，Chrome 在7月份的更新是确保 web 安全的重大里程碑。之前虽然都在推进加密 web 但收效甚微。他对 Chrome 的这次改变表示欢迎，认为站点的安全状况将更加显而易见。他指出，继 HTTP 网站被标记为“不安全”后，HTTPS 指标也会得到简化，二者相辅相成。随着 HTTPS 越来越多地成为默认选项后，浏览器仅需在特殊情况发生时才告知用户，这种特殊情况是指连接不安全，前提是加密通讯成为预期结果而非例外。

但安全顾问 Paul Moore 指出，即使是 HTTPS 站点也可能存在多个漏洞。他认为只是因为网站部署了 TLS 就认为它是安全的还不够，而且显然也并非谷歌本意。然而，公众不可能理解这其中的区别，而且可能会认为整个网站就是安全的，实际上它只是说明连接是安全的。

Chrome 更新旨在促使数百万 HTTP 站点使用 HTTPS 协议。Web 已在这个方向取得了很大的进展，但仍然还有很多事情要做。DigiCert 首席产品官 Jeremy Rowley 督促 IT 管理员检查自己管理的网站并部署相应的 TLS 证书。他指出，在一些情况下，管理员可能认为并非所有的网页都需要证书，但不正确的配置和部署将触发 Chrome 安全警告。

Ipsos 公司在今年初开展的研究表明，大量（87%）的互联网用户在看到网页上的浏览器警告信息后选择不完成交易。超过一半（58%）的受访者表示将选择竞争者网站完成购买。《通用数据保护条例》生效后，欧洲互联网用户将在多个网站看到隐私更新通知，这可能是律师斡旋的结果也可能是该条例的副作用。目前尚不知晓它是否会对浏览器响应产生任何影响。

尽管 Chrome 是首个在非 HTTPS 网站上部署此类可见警告系统的浏览器，但微软、苹果和 Mozilla 也可能跟进。Rowley 补充道，“HTTP 2.0 要求主流浏览器部署 TLS 加密。随着主流浏览器迁移至更新的技术，网站部署证书也变得越来越重要。”