Google正在繼續(xù)推動通用加密,要求所有45個頂級域名(TLD)在其控制下進行安全連接。頂級域名是URL(.com、.org���、.net���、.gov���、.int、.edu等)后綴結尾的域名���。
為了確保其所有45個頂級域名���,Google將使用HSTS或HTTP嚴格的運輸安全。
自從至少在2010年將Gmail移動到HTTPS時���,Google一直在推動通用加密或HTTPS Everywhere。從去年開始對個人網(wǎng)站的SSL證書及加密進行施壓���。從2018年開始���,每當有人訪問仍然通過HTTP服務的網(wǎng)站時,Google會在地址欄中放置一個“不安全”的指示���。
什么是HTTPS嚴格傳輸安全
HSTS是一種機制���,強制Web瀏覽器只通過HTTPS連接到您的網(wǎng)站���。有一些稱為HSTS預加載列表的東西,它自動存儲在瀏覽器中���,并告訴他們自動執(zhí)行HTTPS連接���。這增加了一層安全性,因為它防止降級攻擊���。
當瀏覽器收到一個網(wǎng)站的HSTS-意味著網(wǎng)站所有者已啟用HTTP嚴格傳輸安全-它更新其HSTS列表���,以便HTTP連接永遠不會遭到重置。但是���,在瀏覽器收到Header之前���,你仍然很容易受到攻擊。因此HSTS仍是存在瑕疵的���。
不過Google已基本上為其所有頂級域名解決了這個問題���。
將所有頂級域名放在HSTS預載列表上的優(yōu)點是什么
HSTS預加載列表可以包含域���,子域和頂級域名。直到2015年���,沒有人嘗試添加頂級域名���,Google添加了同名的.google。現(xiàn)在它增加了其他44個頂級域名���。這有很多優(yōu)點���。
通過將所有頂級域名置于列表中,瀏覽器將自動執(zhí)行與該頂級域名的任何域的HTTPS連接-只要它們已安裝了SSL證書���。這可以防止用戶嘗試進行首次連接時發(fā)生攻擊的任何風險,因為默認情況下���,該域已經(jīng)在頂級域名級別的預載列表中���。
然而���,獲取HSTS預載列表可能需要幾個月的時間。將自家頂級域名放進預加載列表���,算是Google對其他網(wǎng)站擁有者的貼心之舉���。作為域名注冊商,它也更具吸引力���。當然���,這些頂級域名中只有三個是活躍的-.google,.how和.soy���,第四個.app���,即將上線。
Google的這一做法可能會形成一個趨勢���。隨著SSL迅速成為需求���,增強你的SSL產(chǎn)品(例如���,保證HSTS預加載列表中的一個位置)將會比以往更重要。我們期待看到更多的域名注冊商將整個頂級域名添加到列表中���。
