Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接。顶级域名是URL(.com、.org、.net、.gov、.int、.edu等)后缀结尾的域名。
为了确保其所有45个顶级域名,Google将使用HSTS或HTTP严格的运输安全。
自从至少在2010年将Gmail移动到HTTPS时,Google一直在推动通用加密或HTTPS Everywhere。从去年开始对个人网站的SSL证书及加密进行施压。从2018年开始,每当有人访问仍然通过HTTP服务的网站时,Google会在地址栏中放置一个“不安全”的指示。
什么是HTTPS严格传输安全
HSTS是一种机制,强制Web浏览器只通过HTTPS连接到您的网站。有一些称为HSTS预加载列表的东西,它自动存储在浏览器中,并告诉他们自动执行HTTPS连接。这增加了一层安全性,因为它防止降级攻击。
当浏览器收到一个网站的HSTS-意味着网站所有者已启用HTTP严格传输安全-它更新其HSTS列表,以便HTTP连接永远不会遭到重置。但是,在浏览器收到Header之前,你仍然很容易受到攻击。因此HSTS仍是存在瑕疵的。
不过Google已基本上为其所有顶级域名解决了这个问题。
将所有顶级域名放在HSTS预载列表上的优点是什么
HSTS预加载列表可以包含域,子域和顶级域名。直到2015年,没有人尝试添加顶级域名,Google添加了同名的.google。现在它增加了其他44个顶级域名。这有很多优点。
通过将所有顶级域名置于列表中,浏览器将自动执行与该顶级域名的任何域的HTTPS连接-只要它们已安装了SSL证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险,因为默认情况下,该域已经在顶级域名级别的预载列表中。
然而,获取HSTS预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表,算是Google对其他网站拥有者的贴心之举。作为域名注册商,它也更具吸引力。当然,这些顶级域名中只有三个是活跃的-.google,.how和.soy,第四个.app,即将上线。
Google的这一做法可能会形成一个趋势。随着SSL迅速成为需求,增强你的SSL产品(例如,保证HSTS预加载列表中的一个位置)将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。