浏览器的名义——HTTP已死 HTTPS当立

字号：大中小

　　浏览器的主要功能是向服务器发出请求，以便在浏览器窗口中展示用户想要访问的网络资源（如文字、图片、视频等）。当服务器接收到这个请求后即做出响应，将HTML代码发送给浏览器，让网页在浏览器显示出来，而将请求和响应连接在一起的传输协议便是HTTP。很久以来，我们都是通过浏览器和HTTP访问网络的，浏览器也成为互联网的最主要入口。

　　但随着HTTP安全问题的不断暴露，以谷歌为代表的浏览器厂商发起了一场用更安全的HTTPS代替HTTP的行动。这场行动在今年逐步迈入高潮，浏览器厂商的多项政策正在宣告“HTTP已死，HTTPS当立”。那么，浏览器厂商正在如何推进HTTPS的普及？在浏览器的高压态势下，依然使用HTTP的网站如何应对？而已实现HTTPS的网站就能高枕无忧了吗？

　　第一大浏览器“封杀”HTTP

　　谷歌在4月底宣布，从Chrome 62(今年10月发布)开始，只要用户在HTTP协议网站下有输入动作，就会在地址栏以动画的形式弹出“Not Secure”，即“不安全”。

　　谷歌近来持续依靠Chrome在浏览器市场上的老大地位强推HTTPS，从今年1月发布的 Chorme 56 开始，如果在HTTP网页上输入密码或信用卡号等敏感信息，Chrome就会在网址列左方弹出不安全的警告。Chrome 62则更进一步，不管你在HTTP网页的文字框输入什么，Chrome都会警告。

浏览器的名义——HTTP已死 HTTPS当立

Chrome 62将对HTTP网页上任何信息的输入都进行警告

　　当Incognito Mode（隐身或无痕模式）开启时，Chrome会认为你要求更高的安全性，所以会对打开的所有HTTP网页进行警告。而在不久的将来，Chrome计划不管是不是Incognito Mode，HTTP网页统统会被警告。不仅是Chrome，火狐也在今年开始对HTTP网页发出警告。Chrome+火狐的市场占有率为70.8%（2017年5月数据），超过七成的流量入口即将淘汰HTTP，基本宣告了这一协议的死亡。

　　在浏览器厂商的强力推进下，HTTPS的使用率也大幅增加。据统计，谷歌搜索结果首页中的HTTPS站点占比已达到50%，较9个月前的30%上涨了20%。在谷歌排名TOP10 的站点中，前八位均为HTTPS站点，HTTPS网站已获得浏览器和搜索引擎的共同青睐，得到了更大的发展空间。

浏览器的名义——HTTP已死 HTTPS当立

谷歌TOP10网站中的前八位都已实现或接近全站HTTPS（即网站100%的网页都使用HTTPS）

　　有了HTTPS，就没有了“伤害”

　　用户需要通过浏览器访问你的网站，如果网站依然使用HTTP，将至少面对以下“伤害”：

　　据统计，从Chrome 56开始的浏览器警告导致HTTP网站的账号密码登入量减少了23%，浏览器警告吓跑了访客，对HTTP网站流量和用户量增长的负面影响将持续扩大；

　　HTTP采用明文传输，未经加密，用户和网站的数据均有可能泄露；

　　由于HTTP没有对服务器的身份认证机制，黑客可以利用仿冒网页诱骗用户访问，并实施“钓鱼”攻击；

　　同样因为没有加密和认证功能，HTTP网站的流量易遭“劫持”，也就是用户在访问网站时，看到网页上有一些乱七八糟的广告或弹窗，这些内容并非网站放置，而是流量被“劫持”后由他人插入的。

浏览器的名义——HTTP已死 HTTPS当立

用户打开正常网页后因“流量劫持”被跳转到色情页面

　　基于以上，浏览器倒逼网站站长切换到带SSL证书加密认证的HTTPS也是不无道理。过去，因为SSL证书需要一定费用，很多网站不愿为此掏腰包，但今年浏览器对HTTP的封杀力度可谓前所未有，HTTP网站不得不正视这个问题。对此，目前唯一可颁发支持所有浏览器SSL证书的中国本土CA中国金融认证中心（CFCA）给出如下建议：

　　电商、金融等涉及交易类业务的网站应尽快实现HTTPS，避免用户在注册输入卡号或登录输入密码时因浏览器警告而流失；需要展示公信力或品牌形象的政府、公共服务、企业类网站则有必要在今年10月前，也就是Chrome62开始对所有HTTP页面输入行为警告前申请SSL证书；而一些个人网站或纯信息展示网站，例如无用户、页面无输入框等，则可视浏览器后续的HTTPS政策再做打算。但如需预防流量“劫持”，则可以马上部署SSL证书。

　　有了HTTPS就能安心“吃瓜”？

　　既然都在打压HTTP，那有了HTTPS就万事大吉，不用再被浏览器警告烦恼了吧？遗憾的是，由于SSL证书的错误使用，很多HTTPS网站依然难逃安全警告。根据百度《HTTPS最佳安全部署实践》统计，99.19%已使用HTTPS的网站存在配置或安全问题。如果存在证书加密协议过时、使用过期证书、证书不支持所有浏览器等严重问题，浏览器对HTTPS也会给出如下警告。

浏览器的名义——HTTP已死 HTTPS当立

　　对于如何避免或消除HTTPS错误，中国金融认证中心（CFCA）给出如下建议：

　　请使用根证书已植入微软、谷歌、火狐、苹果等所有浏览器厂商证书库的SSL证书，让网站HTTPS在各大浏览器中均能正常显示；

　　请在服务器配置中启用TLSv1协议和AES256-SHA的新型加密套件，过时的协议和套件会触发浏览器报错；

　　企业机构用户请不要使用免费SSL证书，免费证书缺乏完善的审核机制及售后服务，可能出现证书被伪造、被错配等情况。

浏览器的名义——HTTP已死 HTTPS当立

Chrome浏览器对正确安装了CFCA SSL证书的企业网站给予信任

　　如果您希望了解更多与HTTPS与SSL证书相关的信息，请拨打010-59798680或登录ssl.cfca.com.cn查询。　　