Google 正在继续推动通用加密,要求所有 45 个顶级域名(TLD)在其控制下进行安全连接。顶级域名是 URL(.com、.org、.net、.gov、.int、.edu 等)后缀结尾的域名。为了确保其所有 45 个顶级域名,Google 将使用 HSTS 或 HTTP 严格的运输安全。
自从至少在 2010 年将 Gmail 移动到 HTTPS 时,Google 一直在推动通用加密或 HTTPSEverywhere。从去年开始对个人网站的 SSL 证书及加密进行施压。从 2018 年开始,每当有人访问仍然通过 HTTP 服务的网站时,Google 会在地址栏中放置一个“不安全”的指示。
什么是 HTTPS 严格传输安全
HSTS 是一种机制,强制 Web 浏览器只通过 HTTPS 连接到您的网站。有一些称为 HSTS 预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行 HTTPS 连接。这增加了一层安全性,因为它防止降级攻击。
当浏览器收到一个网站的 HSTS-意味着网站所有者已启用 HTTP 严格传输安全-它更新其 HSTS 列表,以便 HTTP 连接永远不会遭到重置。但是,在浏览器收到 Header 之前,你仍然很容易受到攻击。因此 HSTS 仍是存在瑕疵的。
不过 Google 已基本上为其所有顶级域名解决了这个问题。
将所有顶级域名放在 HSTS 预载列表上的优点是什么
HSTS 预加载列表可以包含域,子域和顶级域名。直到 2015 年,没有人尝试添加顶级域名,Google 添加了同名的 .google。现在它增加了其他 44 个顶级域名。这有很多优点。
通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的 HTTPS 连接-只要它们已安装了 SSL 证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。
然而,获取 HSTS 预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是 Google 对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的-.google,.how 和 .soy,第四个 .app,即将上线。
Google 的这一做法可能会形成一个趋势。随着 SSL 迅速成为需求,增强你的 SSL 产品(例如,保证 HSTS 预加载列表中的一个位置)将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。