如何讀懂瀏覽器的HTTPS安全提示之【谷歌Chrome瀏覽器】？

 

隨著信息安全概念的普及，越來越多的網站開始在網站中安裝SSL安全證書，以實現HTTP協議到HTTPS協議的過渡。不過，在實際網頁的瀏覽過程中，一些用戶發現有些HTTPS網站的地址欄前是綠色的、有些卻是紅色的，有些會顯示鎖樣標識，有些卻顯示感嘆號。HTTPS安全標識之所以會出現這些不同，主要跟瀏覽器的品牌、版本等有關系。為了讓大家更好地識別網站的安全狀態，小飛特地來介紹介紹不同瀏覽器HTTPS下網站的安全標識，今天主要講解谷歌的Chrome瀏覽器。

 

 

 

HTTPS的安全標識形式各異，但基本狀態有以下4種，Chrome瀏覽器的安全標識也是基于這四種狀態進行劃分的：

A. HTTPS有效（網站安全，包括DV、OV、EV HTTPS）

B. HTTPS有小錯誤（網站安全，小錯誤不影響瀏覽）

C. HTTPS有大錯誤（網站不安全，HTTPS無效）

D. HTTP（非HTTPS）

 

 

 

基于用戶研究，谷歌推出了一組瀏覽器安全標識，用于表現網站連接的不同狀態：HTTPS有效、HTTPS有小錯誤&HTTP（兩者共享一個安全標識）、以及HTTPS無效（見下圖）。

 

 

另外，這些標識還常用一些字符結合使用，以便用戶快速理解安全標識的不同含義：

HTTPS有效：顯示"secure"和"https"，配以綠色安全鎖；

HTTP有小錯誤&HTTP：顯示"site not secure"和"http"，配以黑色圓圈；

HTTPS無效：顯示"site not secure"和"not secure"，配以紅色三角警告。

 

 

 

 

為了讓更多用戶了解使用SHA-1證書和HTTP頁面的不安全，2017年1月底發布的Chrome 56將把SHA-1證書顯示為"無效HTTPS"，把涉及敏感信息輸入的HTTP頁面標記為"HTTP不安全"。

 

 

為了給用戶留有足夠的過渡期，Chrome 56之前的瀏覽器版本，對于SHA-1證書（2016/01/01前簽發，且有效期不超過2017/01/01），仍采用黑色圓圈標識，不標注"不安全"字樣。

 

 

但從Chrome 56開始，停止支持所有由公共CA簽發的SHA-1證書(包括中級根證書和終端證書)，將所有SHA-1證書標記為"無效HTTPS"，顯示紅色三角警告。私設PKI簽發的SHA-1證書也必須設置本地信任錨，未設置的SHA-1證書將顯示不受信任。

 

 

 

HTTP頁面的數據信息是明文傳輸的，這使得網站數據很容易被竊聽、篡改、冒充。此前，谷歌瀏覽器對于HTTP頁面沒有任何不安全的標注，卻對相對更安全含有小錯誤的HTTPS頁面顯示警告，讓用戶誤以為HTTP頁面比有小錯誤的HTTPS頁面更加安全。

為了讓用戶明確兩者的區別，Chrome 56版本開始正式將HTTP頁面標記為"不安全"，沿用中性的黑色圓圈標識，但增加了字符"Not Secure"進行提示。

 

不過目前這種提示僅出現在涉及敏感信息輸入的頁面, 比如含密碼或信用卡信息傳輸的HTTP頁面。當然，在未來，這種警示會拓展到更多HTTP頁面中，安全標識也將逐步由中性黑色圓圈升級為紅色三角警告（和HTTPS無效的標識一樣）。

 

 

 

講到這里，大家應該對谷歌瀏覽器的HTTPS的安全標識有一定了解了吧。從中我們也可以看出谷歌瀏覽器對網站HTTPS的重視以及它在推動網站步入HTTPS方面做出的努力。你的網站部署SSL安全證書了嗎？趕緊來起飛頁自助建站平臺購買SSL證書吧，這里的DV SSL證書年費僅需280元，且提供免費安裝服務哦！