天创培训:您身边的信息安全培训专家!
行业动态
Chrome火狐联手封杀HTTP

Chrome火狐联手封杀HTTP
各位网站管理员们,当你还沉浸在春节假期已远去的忧桑中时,是否发现和春节前相比,网站发生了一点变化?没错,HTTP页面开始遭到Chrome和火狐(Firefox)浏览器的安全警告。
知名网站也中招,被贴上不安全标签:
Chrome火狐联手封杀HTTP
Chrome56对HTTP页面的安全警告
Chrome火狐联手封杀HTTP
火狐51对HTTP页面的安全警告
过个节回来,咋就变这样了??这不是要吓跑我的流量吗!!
Chrome火狐联手封杀HTTP
HTTP网页被警告,网站流量很受伤
原来,当中国人民忙着过年时,远在美国的mozilla和谷歌分别于1月23日和1月25日发布了本公司的最新版浏览器,即火狐51与Chrome56。作为浏览器领域的竞争对手,二者几乎在同时进行重大版本更新具有针锋相对的意味。但殊途同归的是,火狐与Chrome的最新版本均开始对HTTP页面,也就是非HTTPS页面进行安全警告。那么,Chrome与火狐为什么要联手对HTTP网站亮出警告?网站又该如何得到浏览器的安全信任?
HTTP遭封杀,HTTPS不能少
HTTP曾经是互联网上应用最广泛的网络通讯协议,通过使用浏览器(如ie、火狐、chrome、safari等),客户端发起到网站服务器上指定端口(默认端口为80)的HTTP通讯请求,从网站获取超文本(文本、图像、声音等)到本地浏览器。通俗点讲,从输入网址域名,到网站内容显示到电脑屏幕,即完成一次HTTP通讯的过程。
HTTP为推动互联网的发展做出了巨大贡献,但随着时间的推移,HTTP的低安全性越来越无法适应复杂的网络环境。为此,人们在HTTP的基础上加入SSL协议形成HTTPS,为浏览器和服务器之间的通讯进行加密并验证服务器身份,避免通讯信息被黑客截取和“钓鱼”网站的仿冒。与HTTP相比,HTTPS的安全性已然脱胎换骨。但习惯成自然,再加上实现HTTPS需要一定费用,多数网站仍在使用HTTP。
为此,互联网行业的引领者、规则制定者们开始通过封杀HTTP的使用空间加速HTTPS的普及。例如微信小程序就必须使用HTTPS,苹果应用也有类似的ATS政策即将实行。而此次Chrome与火狐的更新堪称有史以来对HTTP网站最具杀伤力的一次封杀,因为根据2017年1月的数据显示,Chrome与火狐在全球浏览器市场份额的占比近7成。如果网站依然使用HTTP,就有可能在未来丧失近7成浏览器用户的信任,这对绝大多数网站来说是无法承受的损失。
Chrome火狐联手封杀HTTP
2017年1月全球浏览器市场份额
申请SSL证书,即刻远离HTTP警告
既然使用HTTP存在流失大量用户的风险,那采用HTTPS就成为网站的必然选择。HTTPS=HTTP+SSL协议,而SSL协议的实现,也可以说HTTPS的实现需要在网站服务器端部署由第三方CA(数字证书管理机构)签发的SSL证书。HTTPS深获业界青睐的两大功能——传输通讯加密与网站身份认证也是SSL证书赋予的,但一些问题也随之而来:
第一,为满足谷歌、火狐等浏览器厂商的安全标准,CA要花费重金建设SSL证书根证书系统,再消耗大量时间、人力、物力将根证书植入所有浏览器的证书库,确保证书功能完整;
第二,为防止SSL证书被非法网站利用,CA需要对所有证书申请进行人工审核,并建立完善的风控体系;
第三,由于各个网站的服务器软件、版本等情况存在不同,所以SSL证书在安装、使用过程中可能出现种种问题,需要CA提供解决方案。
如果网站的SSL证书未能获得浏览器信任或被错误安装、使用,就会出现下图中的红叉,这和针对HTTP页面的安全警告一样尴尬。

CA投入大量时间、资金建设系统、进行入根和人工审核工作,不可能提供完全免费且功能完整的证书。所以SSL证书,特别是国外CA的证书普遍存在价格高、签发慢的问题。而国内证书因起步较晚,除成本、签发速度有一定优势外,长期在入根、风控等方面落后于国外CA,这些问题也成为HTTPS在中国普及的障碍。
不过随着中国金融认证中心(CFCA)在2016年完成入根工作,中国CA第一次获得全球所有浏览器厂商的信任,可与国外顶级CA比肩。考虑到2017年国内HTTP网站面临的严峻形势及响应国家信息安全产品国产化的号召,CFCA计划在今年以免费试用、买一赠一等不计成本的方式大力推广自有品牌的国产SSL证书。目前,已有一批HTTP网站通过CFCA升级为HTTPS网站,远离了浏览器安全警告。而依然在使用HTTP的网站应利用大批用户尚未升级到火狐51与Chrome56的空档期,尽快向CA申请SSL证书。
Chrome火狐联手封杀HTTP
Chrome56对安装了CFCA SSL证书的网站给予安全信任
如果您希望了解更多与HTTPS相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。