基于安全考虑谷歌浏览器多年前开始就致力于推动整个互联网迁移到加密网络,即使用数字签名加密网络间流量。
目前全球大多数网站都已经完成加密流量的部署,然而不得不说的是仍然还有部分网站到现在依然使用明文连接。
对用户来说使用明文连接具有极大风险容易遭到中间人攻击,因此目前主流浏览器都建议用户使用加密网络连接。
而针对那些并没有强制将用户从明文网络重定向到加密连接的网站,谷歌浏览器也决定采取必要的措施确保安全。
默认采用HTTPS而非HTTP连接:
谷歌浏览器采取的安全措施是若用户在地址栏输入地址时,若没有加上前缀 HTTPS 则默认使用HTTPS进行连接。
理论上说如果网站已经部署强制重定向那用户访问HTTP也会被重定向到HTTPS ,但跳转过程依然存在安全风险。
即攻击者可在HTTP跳转到HTTPS途中进行劫持将用户引导到钓鱼网站,谷歌采取的措施就是用来规避这种风险。
当用户输入网址时谷歌浏览器会默认尝试使用HTTPS进行连接,只有HTTPS连接无法完成时谷歌才会退回HTTP。
该功能将在谷歌浏览器V90版里默认启用,目前在稳定版测试版中用户可以通过实验性选项将这个功能默认开启。
有兴趣的用户可以开启这个选项进行测试: chrome://flags/#omnibox-default-typed-navigations-to-https
推荐网站部署HSTS:
谷歌浏览器采取的这种措施其实也可以从源头解决,那就是网站启用HSTS 严格传输安全阻止用户使用明文连接。
部署严格传输安全后,浏览器初次访问网站就会保存缓存信息,在设定的缓存时间里浏览器会强制使用加密连接。
即浏览器自己忽略HTTP前缀并将其替换为HTTPS前缀进行连接 ,无论用户如何访问最终都会使用加密传输流量。
目前蓝点网也已启用严格传输安全,这里也推荐其他网站部署这种策略,可以极大地降低用户被劫持的潜在风险。
