在 7 月 24 号发布的 Chrome 68 中,Google
引入了一项重大的变化。当加载非 HTTPS
网站时,该浏览器的处理方式会更加审慎。
据悉,只要遇到潜在不安全的站点,Chrome
都将开始抛出警告信息。虽然不会对日常使用造成太大的影响,但这确实是迄今为止发生的一个重大转变。

2016年已经余额不足,即将迈向新年的最后一个月,SSL相关的这几个大事件你知道吗?业界巨头为推进HTTPS更安全、更广泛应用而制定相关计划进展如何呢?

2016年是HTTPS加密的普及元年,各大浏览器和操作系统实施新政,加大对HTTPS的支持力度,并逐步取消对HTTP明文协议及过时安全算法的支持。

澳门新葡萄京官网首页 1

停止支持SHA-1证书

1月

Chrome 正在改变加载 HTTP
网站时的处理方法,因为这项老旧的技术未对数据进行加密。

逐步停止对 SHA-1 支持的决策最早是由 Google 在 2014 年末提出的,很快
Mozilla 和Microsoft也跟进,2017年将在各大浏览器中正式执行。

部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划

在之前版本的 Chrome 浏览器中,Google
还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS
加密”,并在地址栏上凸显一个标记。

Chrome

Mozilla原计划2016年1月1日起 Firefox
43开始拒绝新颁发的SHA-1证书,但由于不少设备与平台未能及时跟进,仍有部分用户受此影响,无法访问使用SHA-1新证书的HTTPS网站,Mozilla暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。

然而现在的情况是,Google
突然加快的步伐,彻底将那些缺失有效安全证书的非 HTTPS
网站划归到了“潜在不安全”的阵营,并抛出安全警示。

2017年1月发布的Chrome 56版本开始,不再信任任何来自公共认证机构的 SHA-1
认证,对现有的 SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有
PKI,Chrome 将会继续提供 SHA-1 支持。

还没部署HTTPS?谷歌Chrome将为所有 HTTP网站打红叉

在官方支持页面上,Google
解释到:

Firefox

1月25日,在Usenix Engima
2016安全大会上,Google展示了未使用HTTPS加密的《纽约时报》官网在Chrome浏览器里的样子,地址栏里的网址前面出现了一个红叉。

过去几年中,我们一直主张站点采用
HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP
页面标记为‘不安全’以帮助用户。

不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP
网站标记为‘不安全’。

Firefox计划于2017年1月发布的Firefox 51中停止信任 SHA-1 认证。

火狐浏览器将对”使用非HTTPS提交密码”进行警告

简而言之,从 Chrome 68 开始,这一变动将影响到 Web
和内网中‘潜在不安全’HTTP 网站的访问。

Edge和IE11

1月28日,Mozilla博客中宣布Firefox开发版46开始,将对”使用HTTP提交密码的页面”进行警告。

[编译自:BetaNews
, 译者:cnBeta]

Mircosoft Edge 和 InternetExplorer 11 浏览器将于 2017 年 2 月 14
日停止加载使用 SHA-1
认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的
SHA-1 认证将不会受到影响。

地理定位API未使用HTTPS加密 Chrome 50版不支持连接

即使现在移除 SHA-1
支持早已进入倒计时阶段,但在一千一百万个可访问的网站中,仍有 35%
的网站依然在使用 SHA-1
认证。网站所有者应尽快检查自己的网站证书是否仍在使用SHA-1证书,并申请SHA-2证书部署替换。沃通新证书产品已经上线,新品推广期间申请沃通超真SSL
Pre​通配型证书可享8折优惠,名额有限先到先得。

1月谷歌宣布,从谷歌Chrome
50版本开始,地理定位API没有使用HTTPS加密的web应用,将无法正常使用。根据谷歌发布的日历,50版本应该会在2016年4月的最后一周发布。

澳门新葡萄京官网首页 2

3月

检查SHA-1

谷歌HTTPS透明度报告:逾75%服务器请求使用HTTPS加密

HTTP页面标记“不安全”

谷歌在其透明度报告中增加了一个新板块——超文本传输安全协议(HTTPS)的实施情况,专注于介绍谷歌自主网站和各大热门网站的HTTPS加密部署情况。谷歌称,在发送到公司服务器的请求中,超过75%使用了HTTPS加密连接。

HTTP是明文协议,任何通过该协议传输的数据都以明文的方式在网络中“裸奔”,任何信息数据都处在的窃听、篡改、冒充这三大风险之中。全球互联网正在进行从HTTP到HTTPS的大迁移,主流互联网应用已经逐步完成HTTPS加密的建设。为推动HTTPS的普及,各大浏览器将针对没有正确加密的HTTP页面给出警告,让用户了解使用HTTP协议可能存在的安全风险。

国内搜索引擎进入全站HTTPS加密时代

Chrome

国内最大的搜索引擎百度在2015年5月实现了全站HTTPS加密,细心的朋友可能也已经发现,搜狗搜索与360搜索不知何时也悄悄开启了全站HTTPS加密,预示我国搜索引擎行业将进入全站HTTPS加密时代。

2017年1月发布的Chrome
56版本开始,将把含密码或信用卡信息传输的HTTP页面标记 “不安全”

OpenSSL曝出新型漏洞”DROWN”,沃通发布安全建议

澳门新葡萄京官网首页 3

外国研究人员发现OpenSSL出现新的安全漏洞”DROWN”,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。

http页面chrome显示不安全

百度站长平台链接提交工具升级,JS代码推送支持HTTPS网页

Firefox

百度站长平台发布公告称,已对链接提交工具进行升级。升级后,JS自动推送工具可支持HTTPS页面的自动推送。

Firefox已经在开发版 46
实现,当在非HTTPS安全页面使用密码输入框时,浏览器将会给出一个红色的阻止图标来指示隐私和安全方面的风险。

5月

澳门新葡萄京官网首页 4

应对谷歌Chrome新策略,尽快支持ALPN

http页面firefox显示红色阻止图标

Chrome 浏览器将会在2016年5月31 号切换协商协议,预计在Chrome 51
中移除对NPN的支持,仅支持ALPN。

未来浏览器对HTTP页面的警告会进一步延伸,如果您的网站涉及用户密码输入等敏感操作,建议尽快申请SSL证书,为网页配置HTTPS加密。

6月

苹果iOS App

Diffie-Hellman算法发明者获颁2015图灵奖

强制使用HTTPS

著名的Diffie-Hellman算法发明者Marty Hellman和Whitfield
Diffie获得2015年图灵奖,美国计算机协会(ACM)于6月11日在加利福尼亚州旧金山市举办年度颁奖典礼。

2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport
Security(ATS)安全功能。启用ATS后,它会屏蔽明文HTTP资源加载,强制App通过HTTPS连接网络服务,通过传输加密保障用户数据安全。是否支持HTTPS直接影响APP能否在苹果商店顺利上架,留给iOS开发者的时间已经所剩无几。

最后期限:2016年底苹果iOS
App强制使用HTTPS

澳门新葡萄京官网首页 5

6月14日在WWDC
2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App
Store中的所有App都必须启用 App Transport Security(ATS)安全功能。

iOS强制HTTPS

重用加密随机数引发的Forbidden Attack

美国政府网站强制全站HTTPS

据外媒报道,某国际安全小组1月份的全网扫描发现,Visa旗下部分HTTPS网站存在漏洞,可以让黑客注入恶意代码,而不被浏览器发现,受影响的服务器共184台。

2015年6月,美国政府出台了HTTPS-Only标准,强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。官方统计数据显示,目前已经有61%的政府网站使用HTTPS加密。

7月

澳门新葡萄京官网首页 6

英国政府网站启用HTTPS HSTS
DMARC安全保护

美国政府网站强制HTTPS

从10月1日开始,英国所有的政府服务网站都将需要确保他们使用HTTPS加密和HSTS保护,避免遭到降级攻击(某些攻击试图采用切换用户的方式去访问HTTP协议站点)。

谷歌发起证书透明度,提高HTTPS网站安全性

2013年,谷歌发起了这一名为证书透明度(Certificate
Transparency,简称CT)的项目。这一项目的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者CA确定证书是否被错误签发或者被恶意使用,从而提高HTTPS网站的安全性。

【8月SSL快讯】谷歌浏览器推新安全图标;Android
N不再信任用户添加的CA列表

SSL全球快讯:谷歌浏览器推新安全图标;谷歌域名启用HSTS协议;CloudFlare弹性SSL存安全风险;Android
N默认不再信任用户添加的CA列表。

8月

北美流量之王Netflix宣布将使用HTTPS加密流视频

Netflix 在保护内容安全一直都不遗余力,除了利用 DRM
避免盗版之外,他们最近又多加一重保障,就是正式通过HTTPS加密来提供串流服务。

Google.com支持HSTS,强制HTTPS访问

谷歌宣布域名Google.com支持HSTS机制,帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本,强制客户端(如浏览器)使用HTTPS与服务器创建连接。

YouTube宣布已完成97%的链接HTTPS加密

YouTube官方博客宣布,YouTube已经完成97%
的连接HTTPS加密,另外3%是因为一些设备不完整支持现代HTTPS,它计划未来逐步淘汰不安全的HTTP连接

9月

谷歌Chrome56正式将HTTP页面标记“不安全”

9月8日谷歌宣布,从2017年1月(Chrome56)开始,正式将某些HTTP页面标记“不安全”,比如含密码或信用卡信息传输的HTTP页面,而未来的长期计划是将所有HTTP页面都标为不安全。

iOS 10使用HTTPS进行更新升级

9月13日发布的iOS
10,苹果最终使用HTTPS加密连接进行安全升级。此前,更新升级都是通过HTTP发往终端设备,网络攻击者可能拦截和操纵更新文件。

10月

谷歌要求2017年所有SSL证书支持CT证书透明

10月25日谷歌在公开邮件组发布公告,2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。

11月

谷歌:HTTPS加密日趋普及,互联网比一年前更安全

谷歌在新发表的《透明度报告》中指出,相当多数量的网站已经转向HTTPS加密协议。“在桌面用户浏览的网页中,逾半数通过HTTPS传输;HTTPS网页占到用户上网时长的三分之二。”

微信小程序要求HTTPS请求,如何选择SSL证书?

微信11月3日宣布开始公测,官方需求文档要求后台使用HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。

Google将在Chrome56中停止支持SHA-1

谷歌在之前发布的一些Chrome版本中已逐渐弃用对SHA-1的支持。而在近日发布的报告中,谷歌已最终确认将在2017年1月末完全停止支持SHA-1。

微软edge和IE11明年二月停止支持SHA-1

Microsoft确认,2017年2月14日是其Microsoft Edge和Internet Explorer
11浏览器停止支持SHA-1的截止日期。在该日期之后,浏览器不会加载仍在运行SHA-1证书的网站,并向用户显示证书无效的警告。

12月

倒计时11天,苹果iOS强制HTTPS迫在眉睫

苹果将关闭HTTP的大门,如果您的iOS APP还在使用HTTP明文连接,将无法通过App
Store审核,影响应用上架!
沃通新证书产品支持苹果iOS系统和safari浏览器,满足ATS安全设置要求。

WordPress将从2017年开始要求用户使用HTTPS

12月1日WordPress发布了一个决定,将在2017年要求主机具有HTTPS可用功能。正如JavaScript,平滑的用户体验是很有必要的,SSL可能会成为用户下一个需要面对的“障碍”。

TLS1.3进入最后阶段

TLS协议的下一个版本TLS1.3进入最后阶段接近完成。TLS1.3是一种新的加密协议,它既能提高各地互联网用户的访问速度,又能增强安全性。

如果说2016年仍是HTTP向HTTPS迁移的平滑过渡期,那么2017年这样的过渡期将正式结束,可以预见在行业趋势的推动下,2017年将是HTTPS加密普及的顺风年,HTTPS加密将获得更加广泛应用。