V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
unsec
V2EX  ›  SSL

来自 Chrome 团队的提议:所有浏览器把非 HTTPS 站点标注为不安全

  •  
  •   unsec · 2014-12-13 12:10:00 +08:00 · 6174 次点击
    这是一个创建于 3625 天前的主题,其中的信息可能已经有所发展或是发生改变。
    20 条回复    2015-04-20 10:49:46 +08:00
    kmvan
        1
    kmvan  
       2014-12-13 12:16:33 +08:00
    如果打开http站点时候,chr弹窗说明此站点不安全,这样吗?
    这不是摆明要人家买ssl么,站长们又得破费啊,称呼成本略高。
    干脆直接只收录 ssl 站点,非 ssl 的都 K 掉,这才是根本~
    SharkIng
        2
    SharkIng  
       2014-12-13 12:34:42 +08:00
    也许慢慢的SSL也白菜价了,甚至免费了,也许慢慢的所有网站都标配HTTPS了
    yfdyh000
        3
    yfdyh000  
       2014-12-13 12:36:00 +08:00   ❤️ 1
    https://letsencrypt.org/ 就快到了,一键、自助、免费 SSL 签发。
    aaaa007cn
        4
    aaaa007cn  
       2014-12-13 12:51:38 +08:00
    标注而已,怎么可能弹窗啊
    再说,总会有一些用户基数还不小的换皮浏览器会不提示任何正常的安全风险,而只提示按它家标准的不安全的
    yyfearth
        5
    yyfearth  
       2014-12-13 12:54:14 +08:00
    @aaaa007cn 和我想得一样啊
    到时候各家(国产)浏览器都可以名正言顺的把所有http网站标注成不安全
    但是只要交了保护费嘛 自然就没问题了 就算真的不安全也没问题
    Quaintjade
        6
    Quaintjade  
       2014-12-13 13:10:10 +08:00   ❤️ 2
    挺支持这个提议,不过应该不会在近期实现。
    小网站主倒没什么影响,反正现在ssl成本比域名成本还低。受影响最大的应该是许多程序和大网站,比如Discuz!似乎尚未支持完全https,以及各种CDN以后也要换上https。

    我还建议以后浏览器输入不带protocol的网址应该默认以https打开,必须手动输入 http:// 才以非https打开。为了避免用户以为浏览器出问题,可以在几秒无响应之后,提示:“该网站似乎不支持安全链接,是否尝试以不安全的进行连接?”。
    而且必须配合http的不安全提示,否则网站把https 301到http等于白搭。
    tumutanzi
        7
    tumutanzi  
       2014-12-13 14:16:37 +08:00
    我的博客无压力。
    mfaner
        8
    mfaner  
       2014-12-13 14:18:38 +08:00
    @Quaintjade 证书错误的,https不是一样内容的,还有页面上各种非https资源的,怎么办(感觉见挺多的)
    另外浏览器输入域名我觉得不多见吧
    pyKun
        9
    pyKun  
       2014-12-13 14:30:16 +08:00
    挺纠结的...

    我自己家的网被长城劫持的不行了,每新上一个论坛,过上3~4天就会出现各种广告,自己的标签页里像v2ex里本身有https的带改为默认了,其他的都走代理了
    Quaintjade
        10
    Quaintjade  
       2014-12-13 14:42:18 +08:00
    @mfaner
    证书错的,为什么不用受信任的证书?为什么不正确配置证书?
    页面上有非https资源的,为什么不配置全https?
    这些都是网站自己的问题。

    输入域名不是很正常的吗。现在IE,Firefox,Chrome都有网址自动补全功能,输入几个字母就能自动补全
    233
        11
    233  
       2014-12-13 15:23:15 +08:00
    HTTPS本身不是技术问题,也不是成本问题,而是大众科普和运营问题。
    aznmv3
        12
    aznmv3  
       2014-12-13 15:29:54 +08:00 via Android
    这个要先把XP用户淘汰掉才行,要不然部署多个网站就要多个ip,CDN成本更高
    lhbc
        13
    lhbc  
       2014-12-13 15:40:03 +08:00 via Android
    国内不可行。
    国内有备案和白名单制度,运营商和IDC都必须对80进行过滤,推广https工信部首先就跳起来了。
    zhangjian
        14
    zhangjian  
       2014-12-13 15:58:22 +08:00
    先把ie6解决掉吧。先普及好ipv6吧。。。

    不然谁也没有那么多ip解决。
    LazyZhu
        15
    LazyZhu  
       2014-12-13 16:04:53 +08:00
    @lhbc
    现在https在国内的监控已经可行了, 因为可在浏览器等终端进行拦截, 国内厂商如百度,360都会配合的.
    而且GFW可以投毒ssl认证域名, 譬如ocsp.digicert.com/ocsp.comodoca.com
    ouqihang
        16
    ouqihang  
       2014-12-13 16:50:15 +08:00
    @Quaintjade Chrome 下有插件HTTPS Everywhere,
    https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp
    对于国内的网站没什么用,百度还是要手动打https,youtube谷歌的倒还好
    Quaintjade
        17
    Quaintjade  
       2014-12-13 17:42:54 +08:00 via Android
    @lhbc https域名部分还是可以看到的。

    @ouqihang firefox有force tls扩展,可以把域名加入浏览器的HSTS列表里
    lhbc
        18
    lhbc  
       2014-12-13 17:55:29 +08:00 via iPhone
    @LazyZhu 工信部要求从运营商接入进行白名单,同时要旁路进行全文过滤。
    所以浏览器、GFW这些不能满足运营商的监控要求。
    Showfom
        19
    Showfom  
       2014-12-13 20:01:03 +08:00
    @SharkIng 免费的 StartSSL 完全可以满足小网站的需求
    herozzm
        20
    herozzm  
       2015-04-20 10:49:46 +08:00
    显然高估了国内的https普及形势
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2546 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:30 · PVG 09:30 · LAX 17:30 · JFK 20:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.