近日,谷歌的工程师们开展一项解决HTTPS 混合内容(mixed content)错误的实验。HTTPS混合内容错误是指,初始的HTML(网页)通过安全的HTTPS连接加载,但也页面中其他资源(如图像、视频、样式表、脚本)却通过不安全的HTTP连接加载的时候,就会出现混合内容错误(也就是不安全因素)。因为HTTP和HTTPS内容都被加载显示在同一个页面上,而初始请求是基于HTTPS加密的,现代浏览器会对这类内容显示警告,指示用户此页面含有不安全资源。
HTTPS混合内容错误一直是网站所有者推进HTTPS加密的一大阻碍,Chrome团队对这一问题的解决将更有利于推动HTTPS加密普及。
在过去几年中,混合内容(mixed content)一直是浏览器制造商和其他推动HTTPS迁移的组织面临的一个大问题。混合内容浏览器的错误,很多时候会被认为是阻止用户访问一个网站。这让许多网站运营者不敢迁移到HTTPS,许多人担心他们支持HTTPS没有带来任何实际好处却失去流量收入。解决Web浏览器中出现的混合内容错误,可能是说服网站运营者转向HTTPS的最后一个主要障碍。
近日,Google工程师在Chrome中推出了一项实验,将浏览器配置为自动升级任何混合内容到完整的 HTTPS。Chrome 可以通过秘密地将资源的URL(如图像、视频、样式表、脚本)从 HTTP 版本更改为 HTTPS 替代版本来实现这目的。如果HTTPS链接上存在相同的资源,则一切都正常加载。如果这个HTTPS资源不存在,Chrome会记录该错误并执行为此实验配置的众多方案中的一种。
一般认为,网站所有者更新他们的网站使用HTTPS时,他们可能忘记更改网站源代码,一些内容即便可以通过HTTPS加载,但却被遗留使用HTTP加载,而这些内容可能通过 HTTPS 加载也是可行的。此实验的目的是让Google工程师可以深入了解,如果Chrome默认情况下自动将所有混合内容网站更新为HTTPS,那么多少网站会连接失败,以及混合内容HTTP网址的最佳后备策略是什么。如果链接和网站被破坏的比例很小,谷歌工程师很可能会考虑在 Chrome 浏览器中推出这种自动更新到 HTTPS 的功能,朝着更安全的网络迈出又一步。
目前,谷歌打算将该实验推广到其Chrome Canary大约百分之一的用户群中(以能够启用chrome://flags/#enable-origin-trials 为标记)。
据了解,谷歌的实验不会是第一次,在去年 Mozilla 在 Firefox 中就使用了类似的混合内容自动更新,并进行了测试。谷歌安全工程师 Emily Stark 表示:“他们发现了很多破损(breakage),我们希望这次实验情况能有所改善。”此外,关于混合内容处理的其他实验,也在计划中。
混合内容错误在浏览器层级得到解决,将大大推动HTTPS加密的应用普及,网站所有者可以更加安心地升级HTTPS加密。数安时代GDCA拥有16年丰富的行业经验和专业的7*24小时一对一技术支持团队。除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,主要产品有SSL证书、代码签名证书、PDF证书、邮件证书等等。资深技术团队免费提供一对一指导,帮助用户正确部署HTTPS加密,全面解决混合内容错误、不安全加密算法等可能造成安全隐患的HTTPS部署问题。
领取优惠
提交成功!