2018年7月最新釋出的Chrome 68版本,將把HTTP網頁列為不安全!
全球廣用的Google Chrome瀏覽器,於今年初發布公告,會於下個月(七月份)釋出最新的Chrome 68版本,屆時會將任何尚未加上安全憑證的網站皆強制歸類顯示為「不安全」網站。
近幾年來,網路趨勢提倡透過加裝HTTPS安全憑證來加強網站安全性。Google為了讓使用者們理解HTTP網站並不具有安全保障,從去年以來,也逐漸將尚未加裝安全憑證的網站標示為「不安全」,以便提醒所有的瀏覽訪客。而相對的,也有許多網站開發者皆已將其網站轉換為具有安全憑證的HTTPS網站,來提供訪客們最安全的瀏覽體驗。
而其實有多數人的Google Chrome瀏覽器皆以設定為自動更新,因此,若你的網站尚未加上安全憑證(HTTPS),使用最新Chrome68版本的瀏覽者們將會看到您的網站被Google標示為不安全!
如下圖所示,以往非HTTPS的網站並不會明顯提示用戶者該網站尚未加裝安全憑證
而此政策之後,Google Chrome瀏覽器68版本針對非HTTPS的網站將會以下圖方式告知用戶,使用該網站可能有安全風險
具有安全憑證的網站,將以下圖方式呈現
HTTPS對網站的重要性
擁有HTTPS的網站意味著該網站有加裝安全憑證。而HTTPS可保護用戶的隱私與安全,並有效防止入侵者收聽你的網站與用戶之間的通訊。對於加裝HTTPS常見的誤解為僅有需要處理敏感資訊的網站才需此保護。但其實每個不受保護的HTTP請求皆可能會洩漏網站用戶的行為與身份資訊!所以即便你的網站並無任何購物、會員功能等會需取得客戶的敏感資訊,仍需使用HTTPS時刻保護你的網站與你的用戶們。
加裝HTTPS安全憑證有助於防止入侵者輕鬆竄改你的網站與任何用戶之間的通訊(「入侵者」為網站惡意攻擊者)。入侵者利用不受保護的通訊來欺騙用戶們放棄敏感資訊、安裝惡意軟體、或將自己的廣告植入網站中。而這些強制植入的第三方廣告將帶給用戶們安全漏洞,留下不好的網站體驗。同時,入侵者利用每個在你的網站與用戶之間所交流的無保護資源,例如:圖片、網站Cookies、script、HTML等等都可被利用!
自去年以來,網站開發者們也逐漸將網站轉移至HTTPS頁面確保瀏覽者的安全。目前已有超過68% 來自Android與Windows的Chrome流量已受保護;超過78%來自Chrome OS與Mac的Chrome流量已受保護;而全球100大網站中有81個網站預設使用HTTPS。
Chrome 團隊也致力協助開發者們可輕鬆設置HTTPS。並可使用混合內容審計來幫助開發人員將他們的站遷移至最新自動化工具Node CLI下的Lighthouse中的HTTPS。而同時Lighthouse的最新審核功能可協助開發人員查詢使用HTTP加載網站時使用了哪些資源,以及有哪些資源已準備好升級至HTTPS,且僅需將資料引用更改為HTTPS版本即可。
HTTPS是未來趨勢
為了提供用戶們更好的網站使用體驗,也為確保用戶者們的信用卡等個人資料,請務必加裝安全憑證至你的網站中!目前有許多免費安全憑證可加裝在網站中,請參考讓網頁連線加密(https)! 如何讓網頁伺服器取得免費SSL憑證(Let’sencrypt)這篇文章。如果不會加裝安全憑證的你們也不必擔心,歐斯瑞在此為你服務!
參考資源:
Google官方針對七月份更新的說明影片
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https?hl=en
https://themaverickspirit.com/google-chrome-browser-will-mark-non-https-sites-as-not-secure/
https://support.quovadisglobal.com/kb/a473/ssl-tls-user-interface-changes-in-chrome-browser.aspx
相關文章:
我要留言