HTTPS加密是互聯網安全建設的基礎,百度、淘寶、天貓等越來越多互聯網巨頭啟用全站HTTPS,也帶動了更多網站加入HTTPS加密的行列。普通用戶也逐漸明白HTTPS比HTTP更安全,訪問網銀、購物等重要網站時要先觀察是否有HTTPS加密保護。
但是在日常訪問過程中,用戶可能會發現有些網站HTTPS是綠色、有些卻是紅色,有些顯示安全鎖、有些卻顯示嘆號。由於瀏覽器品牌不同、版本不同,對於HTTPS安全狀態的標識符號也有些不同,讓不少用戶有點摸不着頭腦。本文匯總介紹最新版本瀏覽器HTTPS不同狀態的顯示方式。
谷歌瀏覽器
1、 瀏覽器連接安全(Conection Security)分四種狀態
HTTPS相關的安全標識多種多樣,但其基本狀態分為以下四種,谷歌的安全標識也是基於這四種狀態進行細分的。
·有效HTTPS(EV HTTPS和普通HTTPS)
·HTTPS有小錯誤(安全,有小錯誤)
·HTTPS有大錯誤(無效HTTPS,確定不安全)
·HTTP
2、2016年7月最新版Chrome安全標識
基於用戶研究和對瀏覽器面臨的設計挑戰的了解,谷歌提出了一組新的瀏覽器安全標識,用於表現有效HTTPS、HTTP不安全(“HTTPS有小錯誤”與“HTTP不安全”使用相同標識)、無效HTTPS不安全。
此外,還結合一組互補字符串使用,讓用戶更容易理解安全標識的含義。
·對於有效HTTPS:顯示“secure” 和“https”,配合綠色安全鎖
·對於HTTP:顯示“http”和“site not secure”,配合黑色圓圈
·對於無效HTTPS:顯示“not secure”and “site not secure”,配合紅色三角警告
3、Chrome 56 對SHA-1和HTTP頁面的警告標識
為了讓更多用戶了解使用SHA-1證書的不安全性和HTTP明文頁面的不安全性。2017年1月底發布的Chrome 56將把SHA-1證書顯示為“無效HTTPS” ,把涉及敏感信息輸入的HTTP頁面標記為“HTTP不安全”。
SHA-1證書
Chrome瀏覽器阻止SHA-1的計划分兩步漸進實施,為了給用戶足夠的過渡期,Chrome 56之前的瀏覽器版本,對於2016年1月1日之前簽發的且有效期不超過2017年1月1日的SHA-1證書,仍采用中性的黑色圓圈標識,無不安全的文字說明。
但從Chrome 56開始,將停止支持所有由公共CA簽發的SHA-1證書(包括中級根證書和終端證書),將所有SHA-1證書標記為“無效HTTPS”,顯示紅色三角警告。私設PKI簽發的SHA-1證書必須設置本地信任錨,未設置本地信任錨策略的SHA-1證書也將顯示不受信任。
HTTP頁面
HTTP頁面采用明文傳輸協議,不提供任何方式的數據加密和驗證,使傳輸數據處在的竊聽、篡改、冒充這三大風險之中。此前,瀏覽器對於HTTP頁面沒有任何安全提示,卻對相對更安全的含有小錯誤的HTTPS頁面顯示警告,讓用戶誤認為HTTP頁面比含有小錯誤的HTTPS頁面更加安全。
為了讓用戶更加明確兩者的區別,Chrome 56版本開始正式將HTTP頁面標記為“不安全”,沿用中性的黑色圓圈標識,但增加了字符串Not Secure進行提醒。
目前這種提示僅出現在涉及敏感信息輸入的頁面, 比如含密碼或信用卡信息傳輸的HTTP頁面,未來將拓展到更多HTTP頁面,安全標識也將逐步由中性黑色圓圈升級為紅色三角警告,和無效HTTPS標識一樣。
如果需要對https紅色三角標識消除,需要將安全證書下載到本地目錄,然后用瀏覽器的設置菜單下面的管理證書選項進行導入即可。
如何導出證書?
這個因不同瀏覽器區別很大,chrome瀏覽器將電子證書放入了開發工具中。
所以先打開網址,然后f12進入開發者工具,然后點擊security選項,點擊view cerfiticated觀察。點擊詳細信息,然后將證書導出到本地某個目錄下。
瀏覽器如何導入數字證書?
https://jingyan.baidu.com/article/ce43664919d1383773afd39f.html