随着信息安全概念的普及,越来越多的网站开始在网站中安装SSL安全证书,以实现HTTP协议到HTTPS协议的过渡。不过,在实际的网页浏览过程中,一些用户发现有些HTTPS网站的地址栏前是绿色的、有些却是红色的,有些会显示锁样标识,有些却显示感叹号。HTTPS安全标识之所以会出现这些不同,主要跟浏览器的品牌、版本等有关系。为了让大家更好地识别网站的安全状态,小飞特地来介绍介绍不同浏览器下HTTPS网站的安全提示,今天主要讲解谷歌的Chrome浏览器。

1. 浏览器安全连接的4种状态

HTTPS的安全标识形式各异,但基本状态有以下4种,Chrome浏览器的安全标识也是基于这四种状态进行划分的:

A. HTTPS有效(网站安全,包括DV、OV、EV HTTPS)

B. HTTPS有小错误(网站安全,小错误不影响浏览)

C. HTTPS有大错误(网站不安全,HTTPS无效)

D. HTTP(非HTTPS)

2. 谷歌Chrome浏览器的安全标识

基于用户研究,谷歌推出了一组浏览器安全标识,用于表现网站连接的不同状态:HTTPS有效、HTTPS有小错误&HTTP(两者共享一个安全标识)、以及HTTPS无效(见下图)。

另外,这些标识还常用一些字符结合使用,以便用户快速理解安全标识的不同含义:

HTTPS有效:显示"secure"和"https",配以绿色安全锁;

HTTP有小错误&HTTP:显示"site not secure"和"http",配以黑色圆圈;

HTTPS无效:显示"site not secure"和"not secure",配以红色三角警告。

3. Chrome 56对SHA-1证书和HTTP页面的警告标识

为了让更多用户了解使用SHA-1证书和HTTP页面的不安全,2017年1月底发布的Chrome 56将把SHA-1证书显示为"无效HTTPS",把涉及敏感信息输入的HTTP页面标记为"HTTP不安全"。

SHA-1证书

为了给用户留有足够的过渡期,Chrome 56之前的浏览器版本,对于SHA-1证书(2016/01/01前签发,且有效期不超过2017/01/01),仍采用黑色圆圈标识,不标注"不安全"字样。

但从Chrome 56开始,停止支持所有由公共CA签发的SHA-1证书(包括中级根证书和终端证书),将所有SHA-1证书标记为"无效HTTPS",显示红色三角警告。私设PKI签发的SHA-1证书也必须设置本地信任锚,未设置的SHA-1证书将显示不受信任。

HTTP页面

HTTP页面的数据信息是明文传输的,这使得网站数据很容易被窃听、篡改、冒充。此前,谷歌浏览器对于HTTP页面没有任何不安全的标注,却对相对更安全含有小错误的HTTPS页面显示警告,让用户误以为HTTP页面比有小错误的HTTPS页面更加安全。

为了让用户明确两者的区别,Chrome 56版本开始正式将HTTP页面标记为"不安全",沿用中性的黑色圆圈标识,但增加了字符"Not Secure"进行提示。

不过目前这种提示仅出现在涉及敏感信息输入的页面, 比如含密码或信用卡信息传输的HTTP页面。当然,在未来,这种警示会拓展到更多HTTP页面中,安全标识也将逐步由中性黑色圆圈升级为红色三角警告(和HTTPS无效的标识一样)。

讲到这里,大家应该对谷歌浏览器的HTTPS的安全标识有一定了解了吧。从中我们也可以看出谷歌浏览器对网站HTTPS的重视以及它在推动网站步入HTTPS方面做出的努力。你的网站部署SSL安全证书了吗?赶紧来起飞页自助建站平台购买SSL证书吧,这里的DV SSL证书年费仅需280元,且提供免费安装服务哦!

，