Google 正在推广 HTTPS

Google 已将现有 Chrome 特性在非安全站点上禁用，同时新的特性将只支持 HTTPS，意在推进HTTPS 的普及。Chrome 浏览器自50 版本以后已禁止通过HTTP 做地理定位和使用 getUserMedia 功能（该功能可访问用户的摄像头或话筒），并即将实施对加密媒体扩展、应用缓存、设备移动/ 方向检测等特性的限制。该做法的合理之处在于，所有这些特性都涉及敏感数据，如没有采用HTTPS，这些敏感数据在传输时将会曝露于易受攻击的Web 环境当中。禁用其余特性的时间表依然处于讨论中。

同样，一些最新的特性也可能受到攻击，它们将只支持HTTPS。例如 Service Workers 、 Push Notifications 和向手机桌面添加网站快捷方式（所有这些功能源自原生的移动应用，现被广泛应用于 Progressive Web Apps 中）。此外还包括信用卡信息的自动填充和最新推出的支付请求API 。

除了上述开发者特性，Google 还尝试通过改进浏览体验提升安全意识。例如，如果页面中包含了不安全的表单，使用了“非安全”的字符串来请求金融或敏感信息，Chrome 将会给出明确的提示信息（这是56 版本的功能，计划于2017 年1 月推出）。有兴趣的组织可以通过设置 Chrome Canary 版的#mark-non-secure-as 标识预览用户界面上所发生的变化。

最近一些进展让 HTTPS 的迁移变得很顺畅。最近在阿姆斯特丹召开的第一届O’Reilly 安全大会上，Google Chrome 安全产品经理 Emily Schechter 在演讲中高度评价了 Let’s Encrypt 和 CloudFlare 最新提供的服务的重要性。Let’s Encrypt 使用赞助和众筹模式提供免费证书以及自动安装程序（其重要性如今在DevOps 领域与日俱增），这种模式得到著名的Coding Horror 博主Jeff Atwood 的大力支持。CloudFlare 是一家 CDN 提供商，现在提供了免费的SSL 链接，让更多的人用得起。

总而言之，Schechter 的演讲给出了十分真实的HTTPS 业务案例，强调HTTPS 是所有网站的最低安全等级，并提供证据表明大部分 HTTPS 的传统挑战已不再适用。

一些组织已接受建议迁移到 HTTPS，其中包括卫报和 BBC ，这在某种程度上可归因于 Google 的推动。Schechter 在演讲中还引用了其它的成功案例，例如 Housing.com 和 AliExpress ，HTTPS 不仅改进了安全性，而且基于使用仅支持 HTTPS 的特性，切实地提高了用户转化率（还应考虑到 Google 的 SEO 算法将优先对待 HTTPS 内容）。

Chrome 和 Firefox 所给出的数据都表明，现在全世界范围内超过一半的网页采用了 HTTPS。

查看英文原文： Google Pushing for HTTPS

感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。