10月,HTTP即將面臨Chrome的又一波「大封殺」

今年十月，Google即將發佈Chrome瀏覽器86新版本的正式更新，這意味着Chrome將阻止全部類型非HTTPS的混合內容下載。

爲進一步加固瀏覽器的安全防線，全球份額已達71%的瀏覽器霸主Chrome可謂「操碎了心」，早在今年2月份，Google宣佈：爲了加強用戶下載防禦體驗，Chrome瀏覽器將逐步阻止非「安全超文本傳輸協議」的混合內容下載，確保HTTPS安全頁面僅下載安全文件。

爲何阻止HTTPS頁面的HTTP資源下載

HTTPS混合內容錯誤一直是網站推動HTTPS加密的一大阻礙。HTTPS混合內容錯誤是指，初始網頁經過安全的HTTPS連接加載，但頁面中其餘資源（如：圖像、視頻、樣式表、腳本）卻經過不安全的HTTP連接加載，這樣就會出現混合內容錯誤（也就是不安全因素）。據谷歌報道，Chrome用戶在全部主要平臺上超過90%的瀏覽時間都使用HTTPS，可是這些安全頁面一般會加載不安全的HTTP子資源。

初期，Chrome屏蔽始於安全頁面的不安全下載。這種狀況尤爲讓人擔心，由於Chrome當前沒法向用戶代表其隱私和安全受到威脅。不安全的文件下載會威脅到用戶的安全和隱私。例如，***者能夠將經過HTTP下載的程序替換爲惡意程序，竊聽者能夠讀取用戶經過HTTP下載的銀行對帳單等。爲了解決這些風險，谷歌計劃最終在Chrome中禁止加載不安全資源。做爲去年宣佈的一項計劃的延續，Chrome將阻止「安全頁面」上的全部「非安全子資源」的接觸。

Chrome阻止混合內容的六階段計劃表

從2020年4月的Chrome 82開始，Chrome瀏覽器便採起行動向用戶發出警告、進一步確保安全性，直至最終阻止「混合內容的下載」 （安全頁面上的非HTTPS下載）支持。其中對用戶構成最大風險的文件類型（可執行文件）首先受到影響，後續版本將覆蓋更多的文件類型。

谷歌計劃首先在 Windows、macOS、ChromeOS 和 Linux 桌面平臺上推出對混合內容下載的限制。Chrome 團隊將這一過程分爲六個步驟，分別是：

☞ Chrome 81（2020年 3 月）：瀏覽器會蹦出一條控制檯消息，警告全部混合內容的下載；

☞ Chrome 82（2020年 4 月）：瀏覽器將警告（.exe 等可執行文件）的混合內容下載；

☞ Chrome 83（2020年 6 月）：警告 .zip 檔案和 .iso 磁盤映像混合內容的下載；

☞ Chrome 84（2020年 8 月）：警告除圖片、音視頻、文本以外的混合內容的下載；

☞ Chrome 85（2020 年9 月）：警告圖像、音視頻和文本類混合內容的下載；

☞ Chrome 86（2020 年10 月）：阻止全部類型混合內容的下載。

逐步推出的目的，旨在快速緩解嚴重的安全風險，鑑於移動平臺具備更好的抵禦惡意文件的本機防禦功能，爲開發人員提供更新其網站的緩衝時間，避免因不安全網站影響Chrome用戶的使用體驗。

您的網站內容混合嗎？

您的網站內容混合嗎？相信多數網站管理者不清楚其網站有哪些混合內容，而Chrome 86版本的重大更新幫助用戶瞭解全部HTTP網站都是不安全的，迫使網站管理員將其站點升級到更安全的HTTPS協議，保護用戶的隱私和數據安全。

應對策略

① 檢查您的網站上的混合內容/不安全連接，排查網站內的加載文件，確保全部文件都僅經過HTTPS下載，可藉助證書管理工具解決HTTPS的不安全（外鏈）問題，對網站實時監控並得到專業評估報告，以便檢測本身部署的HTTPS網站是否真正的安全。

② 建議網站進行全站HTTPS加密。保護隱私數據，防止竊聽和泄露。

③ 擔憂全站HTTPS會消耗較多的雲端服務器 CPU資源，增長延時？建議制定全站HTTPS加速的性能優化解決方案。