谷歌将强制45个顶级域名使用HSTS HTTPS连接_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 谷歌将强制45个顶级域名使用HSTS HTTPS连接

谷歌将强制45个顶级域名使用HSTS HTTPS连接

 2017/10/10 14:43:09    程序员俱乐部  我要评论(0)
  • 摘要:Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接。顶级域名是URL(.com、.org、.net、.gov、.int、.edu等)后缀结尾的域名。为了确保其所有45个顶级域名,Google将使用HSTS或HTTP严格的运输安全。自从至少在2010年将Gmail移动到HTTPS时,Google一直在推动通用加密或HTTPSEverywhere。从去年开始对个人网站的SSL证书及加密进行施压。从2018年开始,每当有人访问仍然通过HTTP服务的网站时
  • 标签:使用 谷歌 连接 域名 HTTP
class="topic_img" alt=""/>

  Google 正在继续推动通用加密,要求所有 45 个顶级域名(TLD)在其控制下进行安全连接。顶级域名是 URL(.com、.org、.net、.gov、.int、.edu 等)后缀结尾的域名。为了确保其所有 45 个顶级域名,Google 将使用 HSTS 或 HTTP 严格的运输安全。

  自从至少在 2010 年将 Gmail 移动到 HTTPS 时,Google 一直在推动通用加密或 HTTPSEverywhere。从去年开始对个人网站的 SSL 证书及加密进行施压。从 2018 年开始,每当有人访问仍然通过 HTTP 服务的网站时,Google 会在地址栏中放置一个“不安全”的指示。

  什么是 HTTPS 严格传输安全

  HSTS 是一种机制,强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行 HTTPS 连接。这增加了一层安全性,因为它防止降级攻击。

  当浏览器收到一个网站的 HSTS-意味着网站所有者已启用 HTTP 严格传输安全-它更新其 HSTS 列表,以便 HTTP 连接永远不会遭到重置。但是,在浏览器收到 Header 之前,你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。

  不过 Google 已基本上为其所有顶级域名解决了这个问题。

  将所有顶级域名放在 HSTS 预载列表上的优点是什么

  HSTS 预加载列表可以包含域,子域和顶级域名。直到 2015 年,没有人尝试添加顶级域名,Google 添加了同名的 .google。现在它增加了其他 44 个顶级域名。这有很多优点。

  通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。

  然而,获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是 Google 对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的-.google,.how 和 .soy,第四个 .app,即将上线

  Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求,增强你的 SSL 产品(例如,保证 HSTS 预加载列表中的一个位置)将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。

发表评论
用户名: 匿名