如何读懂浏览器的HTTPS安全提示之【谷歌Chrome浏览器】?

发布日期:2018-01-04
浏览次数:184
  
undefined
 
随着信息安全概念的普及,越来越多的网站开始在网站中安装SSL安全证书,以实现HTTP协议到HTTPS协议的过渡。不过,在实际网页的浏览过程中,一些用户发现有些HTTPS网站的地址栏前是绿色的、有些却是红色的,有些会显示锁样标识,有些却显示感叹号。HTTPS安全标识之所以会出现这些不同,主要跟浏览器的品牌、版本等有关系。为了让大家更好地识别网站的安全状态,小飞特地来介绍介绍不同浏览器HTTPS下网站的安全标识,今天主要讲解谷歌的Chrome浏览器。
 
 
 

1. 浏览器安全连接的4种状态

HTTPS的安全标识形式各异,但基本状态有以下4种,Chrome浏览器的安全标识也是基于这四种状态进行划分的:
A. HTTPS有效(网站安全,包括DV、OV、EV HTTPS)
B. HTTPS有小错误(网站安全,小错误不影响浏览)
C. HTTPS有大错误(网站不安全,HTTPS无效)
D. HTTP(非HTTPS)
 
 
 

2. 谷歌Chrome浏览器的安全标识

基于用户研究,谷歌推出了一组浏览器安全标识,用于表现网站连接的不同状态:HTTPS有效、HTTPS有小错误&HTTP(两者共享一个安全标识)、以及HTTPS无效(见下图)。
 
undefined
 
另外,这些标识还常用一些字符结合使用,以便用户快速理解安全标识的不同含义:
HTTPS有效:显示"secure"和"https",配以绿色安全锁;
HTTP有小错误&HTTP:显示"site not secure"和"http",配以黑色圆圈;
HTTPS无效:显示"site not secure"和"not secure",配以红色三角警告。
 
undefined
 
 
 

3. Chrome 56对SHA-1证书和HTTP页面的警告标识

为了让更多用户了解使用SHA-1证书和HTTP页面的不安全,2017年1月底发布的Chrome 56将把SHA-1证书显示为"无效HTTPS",把涉及敏感信息输入的HTTP页面标记为"HTTP不安全"。
 
 

SHA-1证书

为了给用户留有足够的过渡期,Chrome 56之前的浏览器版本,对于SHA-1证书(2016/01/01前签发,且有效期不超过2017/01/01),仍采用黑色圆圈标识,不标注"不安全"字样。
 
undefined
 
但从Chrome 56开始,停止支持所有由公共CA签发的SHA-1证书(包括中级根证书和终端证书),将所有SHA-1证书标记为"无效HTTPS",显示红色三角警告。私设PKI签发的SHA-1证书也必须设置本地信任锚,未设置的SHA-1证书将显示不受信任。
 
undefined
 
 

HTTP页面

HTTP页面的数据信息是明文传输的,这使得网站数据很容易被窃听、篡改、冒充。此前,谷歌浏览器对于HTTP页面没有任何不安全的标注,却对相对更安全含有小错误的HTTPS页面显示警告,让用户误以为HTTP页面比有小错误的HTTPS页面更加安全。
为了让用户明确两者的区别,Chrome 56版本开始正式将HTTP页面标记为"不安全",沿用中性的黑色圆圈标识,但增加了字符"Not Secure"进行提示。
undefined
 
不过目前这种提示仅出现在涉及敏感信息输入的页面, 比如含密码或信用卡信息传输的HTTP页面。当然,在未来,这种警示会拓展到更多HTTP页面中,安全标识也将逐步由中性黑色圆圈升级为红色三角警告(和HTTPS无效的标识一样)。
 
undefined
 
 
讲到这里,大家应该对谷歌浏览器的HTTPS的安全标识有一定了解了吧。从中我们也可以看出谷歌浏览器对网站HTTPS的重视以及它在推动网站步入HTTPS方面做出的努力。你的网站部署SSL安全证书了吗?赶紧来起飞页自助建站平台购买SSL证书吧,这里的DV SSL证书年费仅需280元,且提供免费安装服务哦!

登录后即可发表评论,立即登录.