行业新闻与博客

随着信息安全概念的普及,越来越多的网站开始在网站中安装 SSL 安全证书，以实现 HTTP 协议到 HTTPS 协议的过渡。不过,在实际的网页浏览过程中,一些用户发现有些 HTTPS 网站的地址栏前是绿色的、有些却是红色的,有些会显示锁样标识,有些却显示感叹号。HTTPS 安全标识之所以会出现这些不同,主要跟浏览器的品牌、版本等有关系。为了让大家更好地识别网站的安全状态,亚洲注册特地来介绍下不同浏览器下 HTTPS 网站的安全提示,今天主要讲解谷歌的 Chrome 浏览器。

1. 浏览器安全连接的 4 种状态
HTTPS 的安全标识形式各异,但基本状态有以下 4 种,Chrome 浏览器的安全标识也是基于这四种状态进行划分的:

A. HTTPS 有效(网站安全,包括 DV、OV、EV HTTPS )

B. HTTPS 有小错误(网站安全,小错误不影响浏览)

C. HTTPS 有大错误(网站不安全, HTTPS 无效)

D. HTTP (非 HTTPS )

2. 谷歌 Chrome 浏览器的安全标识
基于用户研究,谷歌推出了一组浏览器安全标识,用于表现网站连接的不同状态: HTTPS 有效、HTTPS 有小错误 &HTTP (两者共享一个安全标识)、以及 HTTPS 无效 undefined。

另外,这些标识还常用一些字符结合使用,以便用户快速理解安全标识的不同含义:

HTTPS 有效:显示 "secure"和"https" ,配以绿色安全锁;

HTTP 有小错误 &HTTP :显示" site not secure" 和" http ",配以黑色圆圈;

HTTPS 无效:显示" site not secure"和"not secure ",配以红色三角警告。

3. Chrome 56 对 SHA-1 证书和 HTTP 页面的警告标识
为了让更多用户了解使用 SHA-1 证书和 HTTP 页面的不安全, 2017 年 1 月底发布的 Chrome 56 将把 SHA-1 证书显示为"无效 HTTPS",把涉及敏感信息输入的 HTTP 页面标记为" HTTP 不安全"。

SHA-1 证书
为了给用户留有足够的过渡期, Chrome 56 之前的浏览器版本,对于 SHA-1证书(2016/01/01 前签发,且有效期不超过 2017/01/01 ),仍采用黑色圆圈标识,不标注"不安全"字样。

但从 Chrome 56 开始,停止支持所有由公共 CA 签发的 SHA-1 证书(包括中级根证书和终端证书),将所有 SHA-1 证书标记为"无效 HTTPS",显示红色三角警告。私设 PKI 签发的 SHA-1 证书也必须设置本地信任锚,未设置的 SHA-1 证书将显示不受信任。

HTTP 页面
HTTP 页面的数据信息是明文传输的,这使得网站数据很容易被窃听、篡改、冒充。此前,谷歌浏览器对于 HTTP 页面没有任何不安全的标注,却对相对更安全含有小错误的 HTTPS 页面显示警告,让用户误以为 HTTP 页面比有小错误的 HTTPS 页面更加安全。

为了让用户明确两者的区别, Chrome 56 版本开始正式将 HTTP 页面标记为"不安全",沿用中性的黑色圆圈标识,但增加了字符" Not Secure "进行提示。

不过目前这种提示仅出现在涉及敏感信息输入的页面, 比如含密码或信用卡信息传输的 HTTP 页面。当然,在未来,这种警示会拓展到更多 HTTP 页面中,安全标识也将逐步由中性黑色圆圈升级为红色三角警告(和 HTTPS 无效的标识一样)。

讲到这里,大家应该对谷歌浏览器的 HTTPS 的安全标识有一定了解了吧。从中我们也可以看出谷歌浏览器对网站 HTTPS 的重视以及它在推动网站步入 HTTPS 方面做出的努力。您的网站部署 SSL 安全证书了吗?赶紧来 www.asiaregister.com 平台购买 SSL 证书吧, 我们的 SSL 证书年费仅需 59.99 元，且提供免费 7*24小 时服务哦!