| 标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
| 详情 | |||||||||||||
|
[SAFE-ID: JIWO-2024-810] 作者: 枫叶 发表于: [2017-10-11]
本文共 [425] 位读者顶过
据外媒报道,Google 正在继续推动通用加密,要求所有 45 个顶级域名( TLD )在其控制下进行安全连接,其中包括 .com、.org、.net、.gov、.int、.edu等后缀结尾的域名。为确保这 45 个顶级域名安全连接,Google 将使用 HSTS 或 HTTP 严格的运输安全。调查显示,自从 2010 年将 Gmail 移至 HTTPS 时,Google 一直在推动通用加密或 HTTPSEverywhere。此外,从去年开始对个人网站的 SSL 证书及加密进行施压。知情人士透露,从 2018 年开始,每当有人访问仍然通过 HTTP 服务的网站时,Google 会在地址栏中放置一个“不安全”的指示。 [出自:jiwo.org]
据悉,当浏览器收到一个网站的 HSTS 时,意味着网站所有者已启用 HTTP 严格传输安全,以便 HTTP 连接永远不会遭到重置。但是,在浏览器收到 Header 之前,你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。不过 Google 已基本上为其所有顶级域名解决了这个问题。 HSTS 预加载列表可以包含域,子域和顶级域名。直到 2015 年,没有人尝试添加顶级域名,Google 添加了同名的 .google。目前,它还增加了其他 44 个顶级域名。据悉,通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。 然而,获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是 Google 对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的 .google、.how、.soy,第四个 .app 即将上线。Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求,增强你的 SSL 产品将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。 |
|||||||||||||
|
|
| 顶 | 踩 |