Google啟動HSTS機制，瀏覽器強制執行HTTPS加密協議

據國外媒體信息透露，Google擬定計劃聯合全球各大主流瀏覽器（Chrome、Firfox、Safari、Internet Explorer、Edge和Opera）啟動HSTS預置名單，對常用網站的頂級域名採取強制執行HTTPS安全連接。（頂級域名是指URL以.com、.org、.net、.gov、.int、.edu為後綴結尾的域名。）

近年來，Google一直在推進HTTPS加密協議，希望互聯網能達到無處不加密的理想安全狀態。今年年初，谷歌開始逐步實施將HTTP頁面標記「不安全」的計劃。10月開始這一措施再次加大力度，對含有文本輸入表單的HTTP頁面標記「不安全」，並將對隱身模式下的所有HTTP頁面標記「不安全」。如果網站仍舊使用HTTP訪問時，Google會在地址欄中放置一個「不安全」的指示。

什麼是HSTS？

HSTS的全稱是HTTP Strict-Transport-Security，即：「HTTP嚴格傳輸安全」。它是一個Web安全策略機制（web security policy mechanism），強制客戶端（如瀏覽器）使用HTTPS與伺服器創建連接。

GIF/6K

採用HSTS協議的網站將保證瀏覽器始終連接到該網站的HTTPS加密版本，不需要用戶手動在URL地址欄中輸入加密地址。該協議將幫助網站採用全局加密，用戶每一次訪問的都是該網站的安全版本。但是大前提是所有的域名都已正確部署SSL證書。

HSTS的工作機制

伺服器端配置支持HSTS後，會在給客戶端返回的HTTP首部中攜帶HSTS欄位。客戶端獲取到該信息後，會將所有HTTP訪問請求在內部做307跳轉到HTTPS，整個過程而無需任何網路過程，也就是直接實現第一次TCP握手開始就是HTTPS通信。

HSTS的作用

HSTS的作用除了節省HTTPS通信RT和強制使用HTTPS，還包括：

阻止基於SSLStrip的中間人攻擊；

萬一證書有錯誤，則顯示錯誤，用戶不能迴避警告。

HSTS預載入列表可以包含域、子域和頂級域名。將所有頂級域名置於列表中，瀏覽器將自動啟動與其相關的任何域的HTTPS連接。在默認情況下，如果域已經在頂級域名級別的預載列表中，那麼用戶嘗試進行首次連接時，可以避免不安全的攻擊風險。

目前，Google將添加了同名的.google，增加了其他44個頂級域名到HSTS預載入列表。在其控制下執行HSTS機制，強制跳轉HTTPS加密安全連接。如用戶訪問http://gamail.com，瀏覽器就是自動轉到https://gamail.com安全模式訪問。

相信不久的將來，HSTS會成為網路安全的重要趨勢。未來越來越多的域名註冊商將頂級域名添加到HSTS預載入列表，因此SSL證書部署HTTPS加密協議的日益需求將比以往更加緊迫。數安時代（GDCA）是國內頒發SSL證書的權威機構，並已通過WEBTRUST國際認證，具備了國際化的電子認證服務能力。其旗下的SSL證書達數十種類型，確保國內的企業或個人用戶都能根據自主的需求選擇最佳的HTTPS解決方案。

文章轉載：https://www.trustauth.cn/news/security-news/22596.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！