Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」

Chrome 在網址列將 HTTP 網站全站標示為「不安全」

最後更新時間: 2018/7/26

發表這篇文章的日期為是台灣時間的 2018 年 7 月 26 日下午,也就是此時此刻早就過了美國的 2018 年 7 月 24 日。

到底過了美國時間的 2018 年 7 月 24 日後,會發生什麼事呢?

這個日子對所有的網站站長絕對是重要的一天,因為從這天開始,所有的 HTTP 網站再不改善的話,都會發生一件事。

網際網路相關事項,Google 說了算

從 2018年 7 月 24 日後 (以美國時間為準),所有還是僅能以 HTTP 通訊協定造訪的網站,最新版的 Chrome 瀏覽器[1]全站會不分頁面全部在網址列上標示為「不安全」。
Chrome 在網址列將 HTTP 網站全站標示為「不安全」

在此之前,Google 早於 2014 年便公開宣佈鼓勵所有網站將不加密的 HTTP 通訊協定升級為 HTTPS 的加密通訊協定,以確保網站訪客與網站間的資料傳輸不受任意第三方窺探,甚至為了讓 HTTPS 加密通訊協定的必要條件 SSL 憑證更加普及化,以 Chrome 瀏覽器的名義成為免費 SSL 憑證提供服務 Let’s Encrypt 的 Platinum 級贊助商。

此外,推廣初期並未針對 HTTP 網站進行任何標示,而是鼓勵已有 SSL 憑證、能以 HTTPS 加密通訊協定存取的網站[2],為其加上綠色鎖頭及標示「安全」字樣,並調升網站排名。

之後才慢慢在推廣過程[3]中將 HTTP 網站標示為不安全,且僅有在該類網站中需要輸入資料的頁面,才會標示為「不安全」。

而從 2018 年 7 月底的 Chrome 68 開始,只要網站還是 HTTP 通訊協定,無論該網站有無頁面需要輸入資料,Chrome 都會在網址列將全站標示為的「不安全」字樣。

針對站長而言,要移除 HTTP 網站在 Chrome 的網址列上的「不安全」字樣,只有為網站安裝 SSL 憑證一途

Chrome 將網站標示為不安全,到底是哪不安全

Chrome 將 HTTP 網站在網址列標示「不安全」字樣,所謂的「不安全」僅代表使用者與該網站的連線並未加密;「連線未加密」聽起來或許並不可怕,但如果你在一個連線未加密的網站輸入的任何訊息、甚至任何點擊操作,都可由不特定定三方輕易窺探。

還不覺得可怕?如果你在一個沒有加密連線的 HTTP 網站購物,且在網站自建的信用卡欄位填入卡號,由於你輸入卡號的連線過程全程未加密,所以只要惡意第三方有心窺探,是可以等在這種網站外進行信用卡卡號蒐集。

話說回來,從 Google 明白宣示 SSL 憑證的重要性,到今天 HTTP 網站全站標示為紅色「不安全」字樣,也已經過了四年,四年都還處理不來相關技術問題的網站,其實網站訪客大可不用再去。

但是必須說明一件很重要的是,這個「不安全」字樣也真的僅代表該 HTTP 網站與網站使用者間的連線未加密,Chrome 網址列的「不安全」字樣不代表這個網站藏有惡意程式或病毒;如果網站已由其他網路系統偵測到惡意程式或病毒,Chrome 會以類似下圖的全紅畫面加以提示[4]
如果網站暗藏惡意程式碼或病毒,會顯示這個全紅畫面,而不會只在網址列標示「不安全」

更重要的是對網站站長來說,為網站安裝 SSL 憑證僅能將使用者與網站間的連線予以加密,並沒有辦法為你所管理的網站防毒防駭;如果有人向網站站長推銷付費 SSL 憑證,還說防毒防駭是免費 SSL 憑證做不到的,請勇敢揭露出來是哪一家廠商的推銷人員這麼說。

Chrome 的網址列標示方式,還會有其他變更嗎

由於 Google 長期透過各種管道及方式推廣 HTTPS,網路龍頭號召力自是不凡,幾年下來 HTTPS 網站比例已超過五成,HTTP 網站逐漸減少;在這種狀況下,Google 準備在 2018 年 9 月的 Chrome 69 發表後,在網址列移除 HTTPS 網站的「安全」字樣,並將綠色鎖頭變更為灰色[5],因為 Google 認為 HTTPS 網站已是常態,無須特別標示「安全」。

相對的,在 2018 年 10 月的 Chrome 70 發表後,屆時如果 HTTP 網站還是沒有升級至 HTTPS,不僅全站會標示「不安全」字樣,且「不安全」字樣會以紅色標示,屆時將會更加明顯。

結語

一般的網站使用者看到 Chrome 標示為「不安全」的網站先不要擔心,只要不在該網站填寫任何機敏資料、也不要進行任何網路金流交易,基本上不會有太大的問題,且這個「不安全」字樣不代表該網站有毒。

但是如果身為一位站長,Google 推廣 HTTPS 四年多,在技術上不難達成的網站通訊協定升級,卻一直放著不管,以我個人當個網站使用者的角度來看,這種網站無論有沒有毒、有沒有內容,我是不會想再去看的。

而且即使透過搜尋,也會越來越不容易看到,因為同質網站都是 HTTPS 了,自然就沒有 HTTP 網站的排名空間了。

附註

1. 目前是以 Chrome 68 作為分水嶺,這項變更也同時會套用在 Chrome OS 上。
2. 包含自行將 HTTP 升級至 HTTPS 的網站。
3. 推廣過程中的歷次變更,都會在變更前的至少半年前公布。
4. 其他瀏覽器遇到暗藏惡意程式碼或病毒的網站,也會做出類似方式的畫面顯示。
5. Microsoft Edge 長期以來都是以類似方式顯示 HTTPS 網站,並沒有將鎖頭變成綠色的時期。
文章摘要
Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」
文章標題
Google Chrome 瀏覽器正式在網址列將 HTTP 網站全站標示為「不安全」
內容說明
美國時間的 2018 年 7 月 24 日後,所有的 HTTP 網站再不升級為 HTTPS 的話,Chrome 瀏覽器會在網址列將該網站全站標示為「不安全」。
文章作者
文章出處
阿力獅的教室
作者標誌