10月,HTTP即将面临Chrome的又一波“大封杀”

今年十月，Google即将发布Chrome浏览器86新版本的正式更新，这意味着Chrome将阻止全部类型非HTTPS的混合内容下载。

为进一步加固浏览器的安全防线，全球份额已达71%的浏览器霸主Chrome可谓“操碎了心”，早在今年2月份，Google宣布：为了加强用户下载防御体验，Chrome浏览器将逐步阻止非“安全超文本传输协议”的混合内容下载，确保HTTPS安全页面仅下载安全文件。

为何阻止HTTPS页面的HTTP资源下载

HTTPS混合内容错误一直是网站推动HTTPS加密的一大阻碍。HTTPS混合内容错误是指，初始网页经过安全的HTTPS连接加载，但页面中其余资源（如：图像、视频、样式表、脚本）却经过不安全的HTTP连接加载，这样就会出现混合内容错误（也就是不安全因素）。据谷歌报道，Chrome用户在全部主要平台上超过90%的浏览时间都使用HTTPS，可是这些安全页面一般会加载不安全的HTTP子资源。

初期，Chrome屏蔽始于安全页面的不安全下载。这种状况尤为让人担心，由于Chrome当前没法向用户代表其隐私和安全受到威胁。不安全的文件下载会威胁到用户的安全和隐私。例如，***者能够将经过HTTP下载的程序替换为恶意程序，窃听者能够读取用户经过HTTP下载的银行对帐单等。为了解决这些风险，谷歌计划最终在Chrome中禁止加载不安全资源。做为去年宣布的一项计划的延续，Chrome将阻止“安全页面”上的全部“非安全子资源”的接触。

Chrome阻止混合内容的六阶段计划表

从2020年4月的Chrome 82开始，Chrome浏览器便采起行动向用户发出警告、进一步确保安全性，直至最终阻止“混合内容的下载” （安全页面上的非HTTPS下载）支持。其中对用户构成最大风险的文件类型（可执行文件）首先受到影响，后续版本将覆盖更多的文件类型。

谷歌计划首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出对混合内容下载的限制。Chrome 团队将这一过程分为六个步骤，分别是：

☞ Chrome 81（2020年 3 月）：浏览器会蹦出一条控制台消息，警告全部混合内容的下载；

☞ Chrome 82（2020年 4 月）：浏览器将警告（.exe 等可执行文件）的混合内容下载；

☞ Chrome 83（2020年 6 月）：警告 .zip 档案和 .iso 磁盘映像混合内容的下载；

☞ Chrome 84（2020年 8 月）：警告除图片、音视频、文本以外的混合内容的下载；

☞ Chrome 85（2020 年9 月）：警告图像、音视频和文本类混合内容的下载；

☞ Chrome 86（2020 年10 月）：阻止全部类型混合内容的下载。

逐步推出的目的，旨在快速缓解严重的安全风险，鉴于移动平台具备更好的抵御恶意文件的本机防御功能，为开发人员提供更新其网站的缓冲时间，避免因不安全网站影响Chrome用户的使用体验。

您的网站内容混合吗？

您的网站内容混合吗？相信多数网站管理者不清楚其网站有哪些混合内容，而Chrome 86版本的重大更新帮助用户了解全部HTTP网站都是不安全的，迫使网站管理员将其站点升级到更安全的HTTPS协议，保护用户的隐私和数据安全。

应对策略

① 检查您的网站上的混合内容/不安全连接，排查网站内的加载文件，确保全部文件都仅经过HTTPS下载，可借助证书管理工具解决HTTPS的不安全（外链）问题，对网站实时监控并得到专业评估报告，以便检测本身部署的HTTPS网站是否真正的安全。

② 建议网站进行全站HTTPS加密。保护隐私数据，防止窃听和泄露。

③ 担忧全站HTTPS会消耗较多的云端服务器 CPU资源，增长延时？建议制定全站HTTPS加速的性能优化解决方案。