Chrome浏览器新增网站默认安全策略，网友褒贬不一

分类：建站推广编辑：IT观察浏览量：195

2021-03-30 16:52:06

Google 近日在博客中宣布，当用户在地址栏中输入一个 URL 而不指定协议时，并且正在访问的网站已经支持 HTTPS，那么 Chrome 将默认使用更安全的 HTTPS（类似于大家熟知的 HTTPS Everywhere 浏览器扩展的操作）。

新的默认设置将率先登陆桌面版和 Android 版的 Chrome 浏览器，随后才会推出到 iOS 上的 Chrome 浏览器。

以往在默认情况下，当用户在 Chrome 地址栏中输入不完整的网址时（例如 oschina.net），Chrome 会事先通过 HTTP 来加载域名。毕竟大部分用户为了节省时间并不会将 https:// 这样的协议一同输入地址栏。而作为 Chrome 90 更新内容的一部分，Google 将会改变这种情况。

HTTPS 协议会对网络上传输的任何信息进行加密，以抵御潜在的攻击，因此安全性更有保障，目前主流网站均已支持该协议。当然，如果一个网站本身就不支持 HTTPS，浏览器将切换到 HTTP 以代替。不过 Chrome 仍然会提醒你访问 HTTP 网站的风险。

除了更加安全之外，这一变化还将减少加载时间，因为它绕过了一些已经支持 HTTPS 协议的网站从 HTTP 到 HTTPS 的重定向。

当然也有网友提出异议：一个网站如果仅仅因为被HTTPS保护就完全信任它，是不合理的。

数年前，知名WordPress安全公司WordFence发现，证书颁发机构（CA）向冒充其他网站的钓鱼网站颁发了SSL证书。因为这些证书是有效的，所以即使它们是钓鱼网站，Chrome仍然会将这些网站报告为安全的网站。

当然，CA不应该向这些虚假网站颁发证书，然而事件已经发生了，往者不可谏。据悉，这个名为Let’s Encrypt的免费CA，曾被用来为非法使用 “PayPal “作为其名称一部分的钓鱼网站创建数千张SSL证书。

在今天，82.2%的网站已经被HTTPS保护。大量使用自动发放的免费DV证书的网络攻击已经削弱了互联网的可信计算基础（TCB）。免费DV证书对网络安全是一种生存威胁。

在此基础上，付费的 ssl证书可能更安全。对于中大型企业网站、金融平台和政府机关等付费的OV、EV证书则更加适用。付费SSL证书对信息传输过程有更高的加密验证，还可以通过SSL证书来彰显品牌形象，为消费者塑造更加可靠的形象。新网提供多种SSL证书类型，具有不可窃听、不可更改、不可否认、不可冒充的功能,详细信息请咨询：http://market.xinnet.com/

声明：免责声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，请发

送邮件至：operations@xinnet.com进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。本站原创内容未经允许不得转载，或转载时

需注明出处：新网idc知识百科