Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」

Chrome 在網址列將 HTTP 網站全站標示為「不安全」

最後更新時間: 2018/7/26

發表這篇文章的日期為是台灣時間的 2018 年 7 月 26 日下午,也就是此時此刻早就過了美國的 2018 年 7 月 24 日。

到底過了美國時間的 2018 年 7 月 24 日後,會發生什麼事呢?

這個日子對所有的網站站長絕對是重要的一天,因為從這天開始,所有的 HTTP 網站再不改善的話,都會發生一件事。

網際網路相關事項,Google 說了算

從 2018年 7 月 24 日後 (以美國時間為準),所有還是僅能以 HTTP 通訊協定造訪的網站,最新版的 Chrome 瀏覽器[1]全站會不分頁面全部在網址列上標示為「不安全」。
Chrome 在網址列將 HTTP 網站全站標示為「不安全」

在此之前,Google 早於 2014 年便公開宣佈鼓勵所有網站將不加密的 HTTP 通訊協定升級為 HTTPS 的加密通訊協定,以確保網站訪客與網站間的資料傳輸不受任意第三方窺探,甚至為了讓 HTTPS 加密通訊協定的必要條件 SSL 憑證更加普及化,以 Chrome 瀏覽器的名義成為免費 SSL 憑證提供服務 Let’s Encrypt 的 Platinum 級贊助商。

此外,推廣初期並未針對 HTTP 網站進行任何標示,而是鼓勵已有 SSL 憑證、能以 HTTPS 加密通訊協定存取的網站[2],為其加上綠色鎖頭及標示「安全」字樣,並調升網站排名。

之後才慢慢在推廣過程[3]中將 HTTP 網站標示為不安全,且僅有在該類網站中需要輸入資料的頁面,才會標示為「不安全」。

而從 2018 年 7 月底的 Chrome 68 開始,只要網站還是 HTTP 通訊協定,無論該網站有無頁面需要輸入資料,Chrome 都會在網址列將全站標示為的「不安全」字樣。

針對站長而言,要移除 HTTP 網站在 Chrome 的網址列上的「不安全」字樣,只有為網站安裝 SSL 憑證一途

Chrome 將網站標示為不安全,到底是哪不安全

Chrome 將 HTTP 網站在網址列標示「不安全」字樣,所謂的「不安全」僅代表使用者與該網站的連線並未加密;「連線未加密」聽起來或許並不可怕,但如果你在一個連線未加密的網站輸入的任何訊息、甚至任何點擊操作,都可由不特定定三方輕易窺探。

還不覺得可怕?如果你在一個沒有加密連線的 HTTP 網站購物,且在網站自建的信用卡欄位填入卡號,由於你輸入卡號的連線過程全程未加密,所以只要惡意第三方有心窺探,是可以等在這種網站外進行信用卡卡號蒐集。

話說回來,從 Google 明白宣示 SSL 憑證的重要性,到今天 HTTP 網站全站標示為紅色「不安全」字樣,也已經過了四年,四年都還處理不來相關技術問題的網站,其實網站訪客大可不用再去。

但是必須說明一件很重要的是,這個「不安全」字樣也真的僅代表該 HTTP 網站與網站使用者間的連線未加密,Chrome 網址列的「不安全」字樣不代表這個網站藏有惡意程式或病毒;如果網站已由其他網路系統偵測到惡意程式或病毒,Chrome 會以類似下圖的全紅畫面加以提示[4]
如果網站暗藏惡意程式碼或病毒,會顯示這個全紅畫面,而不會只在網址列標示「不安全」

更重要的是對網站站長來說,為網站安裝 SSL 憑證僅能將使用者與網站間的連線予以加密,並沒有辦法為你所管理的網站防毒防駭;如果有人向網站站長推銷付費 SSL 憑證,還說防毒防駭是免費 SSL 憑證做不到的,請勇敢揭露出來是哪一家廠商的推銷人員這麼說。

Chrome 的網址列標示方式,還會有其他變更嗎

由於 Google 長期透過各種管道及方式推廣 HTTPS,網路龍頭號召力自是不凡,幾年下來 HTTPS 網站比例已超過五成,HTTP 網站逐漸減少;在這種狀況下,Google 準備在 2018 年 9 月的 Chrome 69 發表後,在網址列移除 HTTPS 網站的「安全」字樣,並將綠色鎖頭變更為灰色[5],因為 Google 認為 HTTPS 網站已是常態,無須特別標示「安全」。

相對的,在 2018 年 10 月的 Chrome 70 發表後,屆時如果 HTTP 網站還是沒有升級至 HTTPS,不僅全站會標示「不安全」字樣,且「不安全」字樣會以紅色標示,屆時將會更加明顯。

結語

一般的網站使用者看到 Chrome 標示為「不安全」的網站先不要擔心,只要不在該網站填寫任何機敏資料、也不要進行任何網路金流交易,基本上不會有太大的問題,且這個「不安全」字樣不代表該網站有毒。

但是如果身為一位站長,Google 推廣 HTTPS 四年多,在技術上不難達成的網站通訊協定升級,卻一直放著不管,以我個人當個網站使用者的角度來看,這種網站無論有沒有毒、有沒有內容,我是不會想再去看的。

而且即使透過搜尋,也會越來越不容易看到,因為同質網站都是 HTTPS 了,自然就沒有 HTTP 網站的排名空間了。

文章摘要
Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」
文章標題
Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」
內容說明
美國時間的 2018 年 7 月 24 日後,所有的 HTTP 網站再不升級為 HTTPS 的話,Chrome 瀏覽器會在網址列將該網站全站標示為「不安全」。
文章作者
文章出處
阿力獅的教室
作者標誌

附註   [ + ]

1. 目前是以 Chrome 68 作為分水嶺,這項變更也同時會套用在 Chrome OS 上。
2. 包含自行將 HTTP 升級至 HTTPS 的網站。
3. 推廣過程中的歷次變更,都會在變更前的至少半年前公布。
4. 其他瀏覽器遇到暗藏惡意程式碼或病毒的網站,也會做出類似方式的畫面顯示。
5. Microsoft Edge 長期以來都是以類似方式顯示 HTTPS 網站,並沒有將鎖頭變成綠色的時期。