Only HTTPS,来了
近期,Mozilla发布了Firefox 83版本浏览器,最大变化是引入了HTTPS-Only模式。启用此模式后,可将所有连接升级为HTTPS,进一步加强客户端到Web服务器端的信息加密传输,并在非HTTPS安全连接时给予警告提醒。
为什么需要HTTPS-Only
当前,大多数网站已支持HTTPS,但许多网站经常由于以下原因,仍存在使用不安全协议。
1、网站未采用HTTPS协议;
2、网站采用HTTPS,但站内部分资源(如图像、视频、CSS、JS等)采用HTTP进行连接,导致HTTPS和HTTP内容混合同时存在。
使用不安全的HTTP协议,可能导致数据泄露等情况发生。
来源:谷歌透明度报告
启用“HTTPS-Only”后,Firefox将在可能的情况下将连接升级为安全状态,与网站建立完全安全的连接。对于不支持HTTPS的网站,Firefox将采取明显提示策略,即显示一条错误警告信息,揭示潜在安全风险,经确认后方可继续。
HTTPS如何成为信息安全未来
回顾2020年网站信息安全政策变化,除HTTPS-Only新模式应用之外,也有包括禁用低版本TLS协议、服务器证书有效期缩短至1年、阻止混合内容等多项策略落地实施。
· 停止支持TLS 1.1及TLS 1.0
3月份开始,苹果、谷歌、微软、Mozilla,陆续发布新版浏览器禁用TLS 1.0和TLS 1.1。
· SSL证书有效期缩短为398天
为提升安全性,苹果、谷歌、Mozilla等浏览器厂商相继宣布,不再信任自2020年9月1日后新发放的有效期超过398天的服务器证书。
· 阻止HTTPS混合内容
10月,谷歌发布Chrome 86,对于HTTPS混合内容,会显示警告并中止数据传输,直至用户选择继续或取消。
HTTPS应用已成为保护网络信息安全中的基石,随着行业政策的不断推进,尤其是证书有效期的缩短,对服务器证书更新、管理带来更大挑战。
中国金融认证中心(CFCA)可颁发完全自主可控的国产全球服务器证书,并于2020年推出在线自助、自动化SSL证书申请、审核、颁发等证书全生命周期管理平台,实现最快10分钟签发EV及OV SSL证书,为企业高效管理服务器证书提供帮助。