谷歌Chrome團隊將在本週開展一項實驗,試圖解決HTTPS 混合內容(mixed content)錯誤。HTTPS混合內容錯誤一直是網站所有者推進HTTPS加密的一大阻礙,Chrome團隊對這一問題的解決將更有利於推動HTTPS加密普及。
HTTPS混合內容錯誤是指,初始的HTML(網頁)通過安全的HTTPS連接加載,但也頁面中其他資源(如圖像、視頻、樣式表、腳本)卻通過不安全的HTTP連接加載的時候,就會出現混合內容錯誤(也就是不安全因素)。因爲HTTP和HTTPS內容都被加載顯示在同一個頁面上,而初始請求是基於HTTPS加密的,現代瀏覽器會對這類內容顯示警告,指示用戶此頁面含有不安全資源。
在過去幾年中,混合內容(mixed content)一直是瀏覽器製造商和其他推動HTTPS遷移的組織面臨的一個大問題。瀏覽器混合內容錯誤有時被認爲是阻止用戶訪問網站,這讓許多網站運營者不敢遷移到HTTPS,許多人擔心他們支持HTTPS沒有帶來任何實際好處卻失去流量收入。解決Web瀏覽器中出現的混合內容錯誤,可能是說服網站運營者轉向HTTPS的最後一個主要障礙。
本週,Google工程師在Chrome中推出了一項實驗,他們將瀏覽器配置爲自動將任何混合內容升級爲完整的HTTPS。Chrome會通過祕密地將資源的URL(例如圖像,視頻,樣式表,腳本)從HTTP版本更改爲HTTPS來實現此目的。如果HTTPS鏈接上存在相同的資源,則一切都正常加載。如果這個HTTPS資源不存在,Chrome會記錄該錯誤並執行爲此實驗配置的衆多方案中的一種。
一般認爲,網站所有者升級他們的網站使用HTTPS時,他們可能忘記更改網站源代碼,一些內容即便可以通過HTTPS加載,但卻被遺留使用HTTP加載。此實驗的目的是讓Google工程師可以深入瞭解,如果Chrome默認情況下自動將所有混合內容網站更新爲HTTPS,那麼多少網站會連接失敗,以及混合內容HTTP網址的最佳後備策略是什麼。如果破損的鏈接和網站的百分比很小,谷歌工程師很可能會考慮在主Chrome瀏覽器中發佈這個“自動更新到HTTPS”的功能,並朝着更安全的網絡邁出新的一步。目前,谷歌打算將該實驗推廣到其Chrome Canary大約百分之一的用戶羣中(以能夠啓用chrome://flags/#enable-origin-trials 爲標記)。
混合內容錯誤在瀏覽器層級得到解決,將大大推動HTTPS加密的應用普及,網站所有者可以更加安心地升級HTTPS加密。沃通SSL證書由全球信任頂級根簽發,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、操作系統和移動終端,具備廣泛兼容性,可用於網站、APP、微信小程序等各類HTTPS應用場景。沃通CA資深技術團隊免費提供一對一指導,幫助您正確部署HTTPS加密,全面解決混合內容錯誤、不安全加密算法等可能造成安全隱患的HTTPS部署問題。
關注沃通SSL證書 www.wosign.com