Google正在繼續(xù)推動(dòng)通用加密���,要求所有45個(gè)頂級(jí)域名(TLD)在其控制下進(jìn)行安全連接����。頂級(jí)域名是URL(.com����、.org、.net���、.gov��、.int���、.edu等)后綴結(jié)尾的域名。
為了確保其所有45個(gè)頂級(jí)域名�,Google將使用HSTS或HTTP嚴(yán)格的運(yùn)輸安全。
自從至少在2010年將Gmail移動(dòng)到HTTPS時(shí)���,Google一直在推動(dòng)通用加密或HTTPS Everywhere��。從去年開始對(duì)個(gè)人網(wǎng)站的SSL證書及加密進(jìn)行施壓�。從2018年開始����,每當(dāng)有人訪問仍然通過HTTP服務(wù)的網(wǎng)站時(shí),Google會(huì)在地址欄中放置一個(gè)“不安全”的指示。
什么是HTTPS嚴(yán)格傳輸安全
HSTS是一種機(jī)制��,強(qiáng)制Web瀏覽器只通過HTTPS連接到您的網(wǎng)站�。有一些稱為HSTS預(yù)加載列表的東西,它自動(dòng)存儲(chǔ)在瀏覽器中����,并告訴他們自動(dòng)執(zhí)行HTTPS連接。這增加了一層安全性�����,因?yàn)樗乐菇导?jí)攻擊����。
當(dāng)瀏覽器收到一個(gè)網(wǎng)站的HSTS-意味著網(wǎng)站所有者已啟用HTTP嚴(yán)格傳輸安全-它更新其HSTS列表��,以便HTTP連接永遠(yuǎn)不會(huì)遭到重置��。但是���,在瀏覽器收到Header之前�����,你仍然很容易受到攻擊�。因此HSTS仍是存在瑕疵的。
不過Google已基本上為其所有頂級(jí)域名解決了這個(gè)問題����。
將所有頂級(jí)域名放在HSTS預(yù)載列表上的優(yōu)點(diǎn)是什么
HSTS預(yù)加載列表可以包含域,子域和頂級(jí)域名�。直到2015年,沒有人嘗試添加頂級(jí)域名��,Google添加了同名的.google?,F(xiàn)在它增加了其他44個(gè)頂級(jí)域名。這有很多優(yōu)點(diǎn)�。
通過將所有頂級(jí)域名置于列表中,瀏覽器將自動(dòng)執(zhí)行與該頂級(jí)域名的任何域的HTTPS連接-只要它們已安裝了SSL證書����。這可以防止用戶嘗試進(jìn)行首次連接時(shí)發(fā)生攻擊的任何風(fēng)險(xiǎn),因?yàn)槟J(rèn)情況下��,該域已經(jīng)在頂級(jí)域名級(jí)別的預(yù)載列表中�。
然而,獲取HSTS預(yù)載列表可能需要幾個(gè)月的時(shí)間���。將自家頂級(jí)域名放進(jìn)預(yù)加載列表����,算是Google對(duì)其他網(wǎng)站擁有者的貼心之舉。作為域名注冊(cè)商�,它也更具吸引力。當(dāng)然����,這些頂級(jí)域名中只有三個(gè)是活躍的-.google,.how和.soy���,第四個(gè).app�,即將上線����。
Google的這一做法可能會(huì)形成一個(gè)趨勢(shì)。隨著SSL迅速成為需求���,增強(qiáng)你的SSL產(chǎn)品(例如,保證HSTS預(yù)加載列表中的一個(gè)位置)將會(huì)比以往更重要����。我們期待看到更多的域名注冊(cè)商將整個(gè)頂級(jí)域名添加到列表中。
