来自 Chrome 团队的提议:所有浏览器把非 HTTPS 站点标注为不安全

2014-12-13 12:10:00 +08:00
 unsec
原文: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
译文: http://west.wodemo.com/marking-http-as-non-secure
6179 次点击
所在节点    SSL
20 条回复
kmvan
2014-12-13 12:16:33 +08:00
如果打开http站点时候,chr弹窗说明此站点不安全,这样吗?
这不是摆明要人家买ssl么,站长们又得破费啊,称呼成本略高。
干脆直接只收录 ssl 站点,非 ssl 的都 K 掉,这才是根本~
SharkIng
2014-12-13 12:34:42 +08:00
也许慢慢的SSL也白菜价了,甚至免费了,也许慢慢的所有网站都标配HTTPS了
yfdyh000
2014-12-13 12:36:00 +08:00
https://letsencrypt.org/ 就快到了,一键、自助、免费 SSL 签发。
aaaa007cn
2014-12-13 12:51:38 +08:00
标注而已,怎么可能弹窗啊
再说,总会有一些用户基数还不小的换皮浏览器会不提示任何正常的安全风险,而只提示按它家标准的不安全的
yyfearth
2014-12-13 12:54:14 +08:00
@aaaa007cn 和我想得一样啊
到时候各家(国产)浏览器都可以名正言顺的把所有http网站标注成不安全
但是只要交了保护费嘛 自然就没问题了 就算真的不安全也没问题
Quaintjade
2014-12-13 13:10:10 +08:00
挺支持这个提议,不过应该不会在近期实现。
小网站主倒没什么影响,反正现在ssl成本比域名成本还低。受影响最大的应该是许多程序和大网站,比如Discuz!似乎尚未支持完全https,以及各种CDN以后也要换上https。

我还建议以后浏览器输入不带protocol的网址应该默认以https打开,必须手动输入 http:// 才以非https打开。为了避免用户以为浏览器出问题,可以在几秒无响应之后,提示:“该网站似乎不支持安全链接,是否尝试以不安全的进行连接?”。
而且必须配合http的不安全提示,否则网站把https 301到http等于白搭。
tumutanzi
2014-12-13 14:16:37 +08:00
我的博客无压力。
mfaner
2014-12-13 14:18:38 +08:00
@Quaintjade 证书错误的,https不是一样内容的,还有页面上各种非https资源的,怎么办(感觉见挺多的)
另外浏览器输入域名我觉得不多见吧
pyKun
2014-12-13 14:30:16 +08:00
挺纠结的...

我自己家的网被长城劫持的不行了,每新上一个论坛,过上3~4天就会出现各种广告,自己的标签页里像v2ex里本身有https的带改为默认了,其他的都走代理了
Quaintjade
2014-12-13 14:42:18 +08:00
@mfaner
证书错的,为什么不用受信任的证书?为什么不正确配置证书?
页面上有非https资源的,为什么不配置全https?
这些都是网站自己的问题。

输入域名不是很正常的吗。现在IE,Firefox,Chrome都有网址自动补全功能,输入几个字母就能自动补全
233
2014-12-13 15:23:15 +08:00
HTTPS本身不是技术问题,也不是成本问题,而是大众科普和运营问题。
aznmv3
2014-12-13 15:29:54 +08:00
这个要先把XP用户淘汰掉才行,要不然部署多个网站就要多个ip,CDN成本更高
lhbc
2014-12-13 15:40:03 +08:00
国内不可行。
国内有备案和白名单制度,运营商和IDC都必须对80进行过滤,推广https工信部首先就跳起来了。
zhangjian
2014-12-13 15:58:22 +08:00
先把ie6解决掉吧。先普及好ipv6吧。。。

不然谁也没有那么多ip解决。
LazyZhu
2014-12-13 16:04:53 +08:00
@lhbc
现在https在国内的监控已经可行了, 因为可在浏览器等终端进行拦截, 国内厂商如百度,360都会配合的.
而且GFW可以投毒ssl认证域名, 譬如ocsp.digicert.com/ocsp.comodoca.com
ouqihang
2014-12-13 16:50:15 +08:00
@Quaintjade Chrome 下有插件HTTPS Everywhere,
https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp
对于国内的网站没什么用,百度还是要手动打https,youtube谷歌的倒还好
Quaintjade
2014-12-13 17:42:54 +08:00
@lhbc https域名部分还是可以看到的。

@ouqihang firefox有force tls扩展,可以把域名加入浏览器的HSTS列表里
lhbc
2014-12-13 17:55:29 +08:00
@LazyZhu 工信部要求从运营商接入进行白名单,同时要旁路进行全文过滤。
所以浏览器、GFW这些不能满足运营商的监控要求。
Showfom
2014-12-13 20:01:03 +08:00
@SharkIng 免费的 StartSSL 完全可以满足小网站的需求
herozzm
2015-04-20 10:49:46 +08:00
显然高估了国内的https普及形势

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/153620

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX