从2020年开始,谷歌对于尚未完全迁移到HTTPS并仍通过HTTP加载一些页面资源(例如图像、音频、视频或脚本)的网站,Google Chrome将会禁止加载这些站点。
自从谷歌宣布网站对HTTPS站点友好和排名支持依赖,谷歌一直强调HTTPS的重要性,但是有的站点仍然通过非安全的HTTP加载网站资源。
但是在过去的几年中,只要域名是通过HTTPS加载的,浏览器就忽略了网站有得内容是通过HTTP方式加载的问题。
这是因为,在Internet的绝大多数历史中,HTTPS都是一个离群值,很少有网站使用它,并且不被视为必须具备的技术要求。
但是近年来,Google和Mozilla都以各自的方式大力推广HTTPS的使用。
例如,Mozilla及其合作伙伴推出了一项名为Let's Encrypt的服务,以使服务器管理员可以访问免费且易于使用的TLS证书,以便他们可以在其站点上支持HTTPS。
就Google而言,它一直在不断对当今最流行的浏览器Chrome进行更改。该公司有效地“滥用”了其作为市场主导者的地位,以设定趋势并在网站所有者和最终用户中灌输新习惯
首先,它开始在通过HTTP加载的表单和登录字段上显示“不安全”指示符。即使网站是通过HTTPS加载的,如果页面上内容混合,Chrome也会拒绝显示绿色的挂锁。如果通过HTTP下载内容,它也开始阻止HTTPS页面上的浏览器下载。
该公司还改变了对HTTPS和HTTP网站的处理方式。现在,他们不再通过在URL栏中显示“安全”指示符来奖励迁移到HTTPS的网站,而是在HTTP网站上显示“不安全”指示符,作为对未能迁移到HTTPS的网站的惩罚。
90%的CHROME浏览器流量通过HTTPS
所有这些都非常成功,并帮助推动越来越多的网站所有者和在线服务使用HTTPS。
Google工程师在今天的博客中说:“ Chrome用户现在在所有主要平台上的HTTPS上花费了90%以上的浏览时间。”
但是现在Google正在迈出下一步-消除网络上的混合内容。网站将需要将其HTTPS网站完全迁移到HTTPS,而不仅仅是主要域。
谷歌今天说:“从Chrome 79开始的一系列步骤中,Chrome将逐步过渡到默认情况下阻止所有混合内容。”
它说:“为了最大程度地减少破坏,我们将自动将混合资源升级到https://,因此如果站点的子资源已经通过https://提供,那么站点将继续工作。”
此外,为防止阻止用户访问旧网站或废弃网站,Google还将提供一种设置,以选择退出特定网站上的混合内容阻止。
这是谷歌公司即将推出的计划:
在2019年12月发布到稳定频道的Chrome 79中,我们将引入一个新设置来取消阻止特定网站上的混合内容。此设置将应用于混合脚本,iframe和Chrome当前默认阻止的其他类型的内容。用户可以通过单击任意https://页面上的锁定图标并单击“站点设置”来切换此设置。这将替换显示在多功能框右侧的屏蔽图标,以取消阻止早期版本的台式机Chrome浏览器中的混合内容。
在Chrome 80中,混合的音频和视频资源将自动升级到https://,并且如果它们无法通过https://加载,则Chrome默认会阻止它们。Chrome 80将于2020年1月发布到早期版本的渠道。用户可以使用上述设置取消屏蔽受影响的音频和视频资源。
同样在Chrome 80中,仍然可以加载混合图像,但它们会使Chrome在多功能框中显示“不安全”芯片。我们期望这对于用户来说是一个更清晰的安全性UI,它将激发网站将其图像迁移到HTTPS。开发人员可以使用upgrade-insecure-requests或block-all-mixed-content内容安全策略指令来避免此警告。
在Chrome 81中,混合图像会自动升级到https://,如果无法通过https://加载,Chrome会默认将其阻止。Chrome 81将于2020年2月发布到早期发布渠道。
建议网站管理员注意确保其网站不再通过HTTP加载任何资源。其中包括iframe,cookie,CSS文件,JavaScript文件,音频,视频,尤其是图像。
