依據去年的一項計劃,谷歌在2月份宣布逐漸阻止HTTPS頁面的HTTP資源下載下傳,確定HTTPS安全頁面僅下載下傳安全檔案。
什麼是混合内容?
HTTPS混合内容錯誤一直是網站推進HTTPS加密的一大阻礙。HTTPS混合内容錯誤是指,初始網頁通過安全的HTTPS連接配接加載,但頁面中其他資源(如:圖像、視訊、樣式表、腳本)卻通過不安全的HTTP連接配接加載,這樣就會出現混合内容錯誤(也就是不安全因素)。
不安全資源加載會威脅使用者的安全和隐私。例如,攻擊者可以将通過HTTP下載下傳的程式替換為惡意程式,竊聽者可以讀取使用者通過HTTP下載下傳的銀行對賬單等等。為了解決這些風險,谷歌計劃最終在Chrome中禁止加載不安全資源。
Chrome阻止混合内容的計劃表
從Chrome 82(将于2020年4月釋出)開始,Chrome将逐漸開始警告并随後阻止這些混合内容下載下傳。對使用者構成最大風險的檔案類型(例如可執行檔案)将首先受到影響,随後的版本将涵蓋更多檔案類型。這種逐漸推出的目的是快速緩解最嚴重的風險,為開發人員提供機會更新網站,并最大程度地減少Chrome使用者必須看到的警告數量。谷歌計劃首先在桌面平台(Windows,macOS,Chrome OS和Linux)上推出對混合内容下載下傳的限制,針對桌面平台的推進計劃如下:
在Chrome 81(于2020年3月釋出)和更高版本中:Chrome浏覽器會在控制台消息中對所有混合内容下載下傳進行警告。
在Chrome 82(于2020年4月釋出)中:Chrome浏覽器将警告可執行檔案(例如.exe)的混合内容下載下傳。
在Chrome 83(于2020年6月釋出)中:Chrome浏覽器将阻止混合内容可執行檔案;Chrome會警告混合内容檔案(.zip)和磁盤映像(.iso)。
在Chrome 84(于2020年8月釋出)中:Chrome浏覽器将阻止混合内容的可執行檔案,歸檔檔案和磁盤映像;Chrome浏覽器會警告所有其他混合内容下載下傳,但圖檔,音頻,視訊和文本格式除外。
在Chrome 85(于2020年9月釋出)中:Chrome浏覽器會警告您下載下傳圖像,音頻,視訊和文本的混合内容;Chrome浏覽器将阻止所有其他混合内容下載下傳。
在Chrome 86(2020年10月釋出)及更高版本中:Chrome将阻止所有混合内容下載下傳。
在Android和iOS的Chrome中釋出會延遲一個版本,并開始在Chrome 83中發出警告。移動平台具有更好的本機保護,可抵禦惡意檔案,這種延遲将使開發人員在影響其移動使用者之前先開始更新其網站。
網站開發者如何處理混合内容
網站開發者應及時排查網站内的加載檔案,確定所有檔案都僅通過HTTPS下載下傳,申請沃通SSL證書為網站及所有資源子域名提供HTTPS加密。在目前版本的Chrome Canary或釋出的Chrome 81中,開發人員可以通過啟用chrome:// flags /上的"Treat risky downloads over insecure connections as active mixed content" 來激活警告用于測試。
1、查找混合内容
使用Chrome的“開發者工具”查找網頁是否存在混合内容。通路需要測試網頁,打開開發者工具,選擇“Security”-"Non-Secure Origin",就可以看到混合内容。
2、確定所有資源域名都部署了HTTPS證書
如果加載的資源來源于子域名,則子域名也需要配置HTTPS證書。沃通CA提供通配型SSL證書,可同時保護同一主域名下所有二級子域名。
3、解決方式
站外資源:測試連結是否支援HTTPS,如果可以通路,直接在代碼中URL修改http為https的連結。站内資源:設定全站HTTPS加密,確定所有資源通過HTTPS協定加載。
原文連結:
https://www.wosign.com/News/news_2020032601.htm