距離7月24日已剩不到兩個月了,全球最受歡迎的瀏覽器Google Chrome將對沒有正確部署SSL證書的加密網站發出全屏警告,有人認為這是Google對HTTP的最終抵制。其實,一場全新涿鹿之戰的較量才剛剛開始而已。這場比賽會將安全指標(“secure”標識和綠色安全掛鎖)取消,並對不安全標準做出懲罰。
Google的措施
2014年,Google發起“HTTPS Everywhere”計劃,希望對整個網絡生態環境都進行加密。谷歌認為Web用戶應該默認支持HTTPS,抵制不安全HTTP站點。此後,Google多次公開譴責HTTP,支持HTTPS。隨著一系列的措施出臺,HTTPS的使用率達到前所未有的高度。
Google產品經理Emily Schechter曾在Chrome官方博客上發佈:
“一直以來,用戶通過瀏覽器訪問網絡站點默認是安全的,當遇到不安全的情況才會發出警告。因此我們將會把HTTP頁面標記為“不安全”,並逐步移除Chrome的安全標識,最終實現默認的狀態是安全的。”
換句話說,網站需要瀏覽器的積極鼓勵,來提升HTTPS的使用率。目前HTTPS已經達到預期的標準,已不需要通過安全標識的形式進行此類的激勵,應轉向對不安全的警示。
Google採取這一舉措是正確的。一般情況下,安全的標識反而會誤導普通用戶。在看到“secure”和綠色安全掛鎖,大部分的用戶都認為該站點是安全的,在視覺的效果來說其實這只是表達加密而已,免費的DV SSL就能實現,而這成為了網絡釣魚詐騙的主要成分。
隨著大量免費的DV SSL證書頒發,越來越多的釣魚網站通過免費證書啟用HTTPS站點進行釣魚欺詐。由於網絡用戶缺乏網絡安全知識,因此不少用戶被誤導釣魚網站是安全的。
目前有兩種方式可以抑制這種情況,就是通過傳播專業知識或消除安全標識,並且對不安全站點發出不安全警示來取締。很明顯,對每一個用戶傳授URL,SSL,加密和網絡釣魚知識並非是一件簡單的事,因此Goole選擇了第二種方法。
掛鎖最終會被取消
Google的目標是希望將HTTPS作為網絡安全的基本規範,而Google即將推出的措施是Chrome不再顯示任何與HTTPS或加密相關的直接標識,而是對異常站點(HTTP)進行嚴厲的警告,所以“secure”標識和綠色安全掛鎖將會成為歷史。2018年9月的推出Chrome 69首先將“secure”標識去掉,下一步就是去除綠色安全掛鎖標誌,這將標誌著將HTTPS建立為標準規範的里程碑。
不安全的警示將更嚴厲
2017年10月發佈的Chrome 62推出一項關於不安全站點的新指標:用戶訪問非HTTPS網站時,需要輸入任何內容都會向其發出警告。
此警告旨在阻止用戶訪問不安全鏈接時,輸入任何內容或洩露他們個人信息。Chrome 70將於2018年10月發佈,屆時不安全的警告將更加的嚴厲、明顯。在Chrome 68開始,每個HTTP站點都被標記為“不安全”,如果用戶在HTTP頁面上輸入內容時,Chrome通過對不安全字體變色(灰色變紅色)來加強警示。
EV證書和綠色地址欄將發生哪些變化?
首先,谷歌不認為EV SSL證書是防止釣魚攻擊的解決方案。Emily曾說過“EV不是一個防禦網絡釣魚攻擊的好方法。”但是很多網絡安全專家卻認為EV SSL證書是防止網絡釣魚和社交
工程攻擊的一個良好對策。從另一個角度來看,認證是將EV證書與其他證書區分最明顯的特點,但Google似乎並不這麼認為。
目前,Chrome加入了一個標誌(Chrome://flags/#simplify- httpsindicator),允許用戶禁用EV指示器——綠色地址欄。從另一個角度來看,Chrome團隊可能會移除EV SSL證書的安全
最後
標記所有HTTP站點,刪除安全標誌,修改EV 的標識 ……一系列的動作可以看出Google認
為HTTPS的使用已經接近日常規範。換句話說,Google的“https Everywhere”計劃已取得成功,因此不再需要激勵站點傳播HTTPS。相反,反而希望將HTTP站點視為異常,並對它們進行不安全站點處理。
一直以來,谷歌十分重視用戶體驗,由於大部分用戶在Chrome上看到“安全”標誌時就 認為是安全的。導致釣魚網站通過免費的DV SSL展示,進行釣魚欺詐。
文章由GDCA翻譯於thesslstore
閱讀更多 GDCA數安時代 的文章
