Google 正式抛弃 HTTP！

关键时刻，第一时间送达！

来自谷歌官方博客的最新消息显示，谷歌 Chrome 将于今年七月份将所有的 HTTP 网站标记为“不安全”。

图片来源：9TO5Google

近年来，已经有越来越多的第三方服务开始推荐甚至是强制要求使用HTTPS连接方式，比如现在用得特别多的微信登录、微信支付、短信验证码、地图 API 等等，又比如苹果公司 2016 年在 WWDC 上宣称，公司希望官方应用商店中的所有 iOS App 都使用安全的 HTTPS 链接与服务器进行通信，并表示 2017 年 1 月 1 日起，苹果 App Store 中的所有 App 都必须启用 ATS 安全功能——虽然后续因为一些未知原因而暂缓了，但这也传递了一种信号：越来越多的第三方服务下，在不久的将来可能都会强制要求使用HTTPS协议，这只是时间问题而已。

那为什么越来越多的HTTP 都在逐渐HTTPS 化？HTTP 协议（超文本传输协议）是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议；HTTPS 协议可以理解为 HTTP+SSL/TLS， 即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

图片来源于网络

诚然，HTTP 具有高效便捷的优势，但也面临着窃听、篡改、冒充等传输风险，相比之下，HTTPS 协议增加了很多握手、加密解密等流程，虽然过程很复杂，但其可以保证数据传输的安全，所以在这个互联网快速迭代的时代下，HTTPS 越来越受追捧。

谷歌作为科技巨头之一，在这一方面也不例外。为了保证数据安全，谷歌很早就启用了HTTPS 协议，并且近年来动作不断。2017 年 1 月，Chrome 56就开始突出标记一些涉及密码、信用卡及其他敏感信息的不安全 HTTP 站点；2017 年 10 月，Chrome 62 又开始标记一些带有输入数据的 HTTP 页面和所有以无痕模式浏览的 HTTP 页面。

谷歌的这些措施也确实卓有成效，在谷歌和 Mac 生态系统中，Chrome 浏览器超过 78% 的流量都在使用 HTTPS；在 Android 和 Windows 生态系统中，Chrome的 68% 流量也来自 HTTPS；此外，前 100 名的网站中有 81 个都在默认使用 HTTPS，绝大多数 Chrome 流量都已加密。

此次谷歌发布的最新博客消息，是其大力推行 HTTPS 的又一动作：计划在今年 7 月发布的 Chrome 68版本上标记所有的 HTTP 页面，也就意味着谷歌将启用全站 HTTPS，并且计划在地址栏中显示如下内容：

图片来源：Chromium Blog

Chrome 安全产品经理 Emily Schechter 在博客中同样还提到了，“根据网站已经转移到 HTTPS 的速度以及今年的强劲走势，我们认为 7 月份将足够让我们可以标记所有的 HTTP站点”。

参考资料：

http://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html

https://9to5google.com/2018/02/08/google-chrome-70-http-not-secure/

https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl

https://www.sohu.com/a/203610693_554061

https://www.cnblogs.com/zhangqie/p/8383508.html