酷应用

Chrome 都对无记录“SSL证书”弹警告了！你的网站竟连HTTPS都没升级

百家作者：又拍云 2018-05-04 11:27:13

5月伊始，Google就放出两个重磅消息，第一个消息：5月1日开始，Google Chrome浏览器对无记录“SSL证书”弹出警告；第二个消息和域名相关，当年Google花了2500万美元买下.app顶级域名，终于在5月2日开放预注册，5月8日正式开放注册。

对无记录“SSL证书”弹出警告，指的是如果网站所使用的SSL证书未出现在“公共证书透明度”（ Certificate Transparency）日志中，Google Chrome浏览器就会出现全屏警告画面。

Google在2016年发起证书透明度，要求所有CA机构在证书透明度日志中公开每天签发的证书，目的在于提供一个开放的监控系统，发现被恶意使用的SSL证书，以及避免错误签发、伪造的SSL证书流入网络，以此来提高 HTTPS网站的安全性。Chrome是第一个支持“证书透明度”日志策略的浏览器，Firefox等主流浏览器也将后续跟进，绝大多数CA都已经支持公开记录证书的政策。

不过，弹窗警告针对今年5月以后颁发的SSL证书，对这之前颁发的SSL证书不起效果。

Google在2012年花费2500万美元买下.app域名的所有权，终于在今年5月开放注册。这个域名除了后缀比较酷炫，另一个独到之处在于这是全球首个需要HTTPS加密的顶级域名。

域名销售商name.com在网站里写了一段话：

.APP is intended to be a secure namespace, so all potential .APP domain owners must secure their website with an SSL certificate. .APP can be purchased just like any other domain, but the connected website will not work properly in browsers until HTTPS has been configured for the site.

大意是：.APP旨在成为安全的域名，因此所有的.APP域名所有者都必须使用SSL证书保护其网站。 .APP可以像任何其他域名一样购买，只有为连接的网站配置了HTTPS，网站才可以在浏览器中正常工作。

两个消息的相通点是：Google从网络安全出发，在不遗余力地普及HTTPS/SSL证书，同时加以规范。在这之前，Google采取了Chrome提示HTTP页面不安全、提升HTTPS页面的搜索权重等方式，不断引导站长、App开发者应用HTTPS/SSL证书。

除了Google、Apple、Mozilla等在普及HTTPS/SSL证书方面起到了不小的作用，比如Apple要求所有上传App Store的App都支持HTTPS加密，Mozilla旗下的Firefox同样对未应用HTTPS的网站提示不安全，甚至是今年大火特火的微信小程序也要求必须支持HTTPS加密。

HTTPS和SSL证书为何物？

说到这里就要简单介绍一下HTTPS，以及为什么要普及HTTPS了。

HTTP的传输特点是明文传输，任何经过HTTP协议传输的数据都是未加密，谁都能看到传输的数据。HTTP明文传输给页面劫持、页面篡改、数据泄露、木马注入等黑客行为提供了便利。

HTTPS则提供了端到端的安全加密，提供数据机密性（加密）、数据完整性（不篡改数据）保护、防重放等安全保护。启用HTTPS之后，网站、App与用户之间传输的数据经过端到端加密，传输过程中无法被偷窥，页面自然也无法被劫持、篡改，也避免了在浏览页面的时候被注入木马。（HTTPS的详细介绍可参看《HTTPS原理详解》）