Google Chrome và Mozilla Firefox đang cập nhật cách hiển thị các trang web SSL / HTTPS cho người dùng, cũng như đưa ra những thứ mới để chuyển tất cả lưu lượng truy cập internet sang HTTPS
Google và Mozilla gần đây đã công bố một số thay đổi về cách họ sẽ hiển thị các trang web HTTPS trong Chrome và Firefox, tương ứng. Hầu hết những thay đổi này là một phần thúc đẩy các trình duyệt đã nói đến trong một vài năm – khuyến khích tất cả các trang web chuyển từ HTTP sang HTTPS.
Dưới đây là tổng quan nhanh về sáu thay đổi đáng chú ý mà các trình duyệt đang thực hiện và những gì người quản trị web và internet cần biết.
1) Chrome chỉ cho dùng HTTPS hoặc Chặn nội dung hỗn hợp
Trong nhiều năm qua, “mixed content” của Google đã trở thành một nỗi đau đầu của các developer. Sau khi chuyển trang web của bạn sang sử dụng HTTPS những vẫn có hình ảnh, tập lệnh hoặc các tệp khác vẫn tải qua HTTP thì sẽ gây ra lỗi sau:
Như Google giải thích :
Các trang HTTPS thường gặp phải một vấn đề gọi là nội dung hỗn hợp, trong đó các nguồn con trên trang được tải không an toàn qua http: //. Các trình duyệt chặn nhiều loại nội dung hỗn hợp theo mặc định, như tập lệnh và iframe, nhưng hình ảnh, âm thanh và video vẫn được phép tải, điều này đe dọa đến quyền riêng tư và bảo mật của người dùng. Ví dụ, kẻ tấn công có thể giả mạo hình ảnh hỗn hợp của biểu đồ chứng khoán để đánh lừa nhà đầu tư hoặc đưa cookie theo dõi vào tải tài nguyên hỗn hợp. Tải nội dung hỗn hợp cũng dẫn đến UX bảo mật trình duyệt khó hiểu, trong đó trang được đánh dấu là an toàn cũng như không an toàn.
Bắt đầu với Chrome phiên bản 79 (dự kiến phát hành vào tháng 12 năm 2019), Google sẽ dần thực hiện kế hoạch thay đổi cách xử lý nội dung hỗn hợp:
- Phiên bản 79: Người dùng sẽ có thể chặn hoặc bỏ chặn thủ công nội dung hỗn hợp.
- Phiên bản 80: Âm thanh và video hỗn hợp sẽ được tự động nâng cấp lên HTTPS – nếu chúng không thể truy cập qua HTTPS, chúng sẽ bị chặn. Các hình ảnh hỗn hợp sẽ tải nhưng sẽ hiển thị cảnh báo của Not Not Secure trong thanh địa chỉ.
- Phiên bản 81: Hình ảnh hỗn hợp sẽ được tự động nâng cấp lên HTTPS – hoặc bị chặn nếu chúng không thể được tải qua HTTPS.
Cuối cùng, điều này không thay đổi những gì quản trị web cần làm – đảm bảo rằng tất cả các tài nguyên (bao gồm hình ảnh, video và âm thanh) tải trên HTTPS 100% thời gian.
2) Firefox đánh dấu tất cả HTTP URL Không an toàn
Theo bước chân của Chrome, Firefox hiện đang đánh dấu tất cả các trang web HTTP là Loại không bảo mật. Trong vài năm qua, Firefox đã bắt đầu cảnh báo người dùng nếu một trang HTTP có chứa thông tin đăng nhập hoặc hình thức khác , nhưng bây giờ Firefox sẽ hiển thị cảnh báo trên tất cả các trang HTTP.
Bắt đầu với Firefox phiên bản 70 (dự kiến phát hành vào tháng 10), người dùng sẽ thấy một cảnh báo như thế này trên tất cả các trang HTTP:
Nếu bạn nhấp vào ổ khóa, bạn sẽ thấy một thông báo như thế này:
Từ đó, bạn có thể nhấp để biết thêm chi tiết để thấy điều này:
3) Firefox bắt đầu chuyển đổi sang DNS over HTTPS
Bắt đầu từ tháng 9, Firefox đã bắt đầu triển khai dần dần người dùng chuyển sang sử dụng DNS-over-HTTPS (DoH) theo mặc định. Nếu kế hoạch của họ diễn ra như mong đợi, họ sẽ có tất cả người dùng ở Mỹ chuyển sang năm 2020.
Năm ngoái, Firefox đã giải thích lý do tại sao họ bắt đầu nỗ lực chuyển sang DoH:
Vì không có mã hóa, các thiết bị khác trên đường đi cũng có thể thu thập (hoặc thậm chí chặn hoặc thay đổi) dữ liệu [DNS]. Tra cứu DNS được gửi đến các máy chủ có thể theo dõi lịch sử duyệt trang web của bạn mà không thông báo cho bạn hoặc xuất bản chính sách về những gì họ làm với thông tin đó. Nỗ lực đầu tiên của chúng tôi để nâng cấp quyền riêng tư của DNS là triển khai giao thức DNS qua giao thức HTTPS (DoH) , mã hóa các yêu cầu và phản hồi DNS.
Tuy nhiên, quyết định này không gây tranh cãi vì một số chuyên gia an ninh mạng tin rằng DoH sẽ gây ra nhiều vấn đề hơn là giải quyết .
DoH của Firefox sử dụng dịch vụ DNS của CloudFlare theo mặc định, nhưng người dùng có thể chuyển sang dịch vụ thay thế nếu muốn.
4) Google kiểm tra DNS over HTTPS
Bắt đầu với Chrome phiên bản 78 (dự kiến phát hành vào tháng 10) Google sẽ bắt đầu thử nghiệm DoH cho một số máy chủ DNS nhất định:
Thử nghiệm này sẽ được thực hiện với sự cộng tác của các nhà cung cấp DNS đã hỗ trợ DoH, với mục tiêu cải thiện tính bảo mật và quyền riêng tư của người dùng chung của chúng tôi bằng cách nâng cấp chúng lên phiên bản DoH của dịch vụ DNS hiện tại của họ. Với cách tiếp cận của chúng tôi, dịch vụ DNS được sử dụng sẽ không thay đổi, chỉ có giao thức sẽ có các mục tiêu của thử nghiệm này là xác thực việc triển khai của chúng tôi và để đánh giá tác động hiệu suất.
Mặc dù Google chậm hơn Firefox một chút khi tung ra DoH, nhưng có vẻ như Chrome sẽ tung ra điều này cho hầu hết / tất cả người dùng vào năm 2020.
5) Giao thức ẩn Chrome (http: // hoặc https: //) Từ URL
Google gần đây đã thực hiện thay đổi về cách hiển thị URL trên thanh địa chỉ – ẩn http: // hoặc https: // từ đầu URL. Thoạt nhìn, thay đổi này có vẻ như Chrome đang làm giảm tầm quan trọng của HTTPS, nhưng thực tế thì ngược lại. Thay đổi này là một phần trong nỗ lực của Google để biến HTTPS thành giao thức mặc định cho toàn bộ web.
Nghiên cứu đã chỉ ra rằng khi nói đến bảo mật internet, các chỉ số tích cực có giá trị, nhưng người dùng chú ý nhiều hơn đến các chỉ số tiêu cực. Đó là lý do tại sao Google đã triển khai kế hoạch biến HTTPS thành mặc định và hiển thị cảnh báo cho các URL HTTP. Thay đổi này chỉ đơn giản là bước tiếp theo trong kế hoạch đó: HTTPS là bình thường (vì vậy bình thường nó không được hiển thị) nhưng HTTP gây ra lỗi.
6) Thay đổi hiển thị trên Chrome và Firefox EV
Không giống như năm thay đổi đầu tiên, điều này không phải là về việc có thêm trang web để chuyển sang HTTPS – đó là thay đổi về cách các trang web có chứng chỉ EV SSL được hiển thị. Chrome và Firefox đang chuyển màn hình EV (tên công ty đã được xác minh) từ thanh địa chỉ sang màn hình chi tiết chứng chỉ. Người dùng giờ đây có thể xem chi tiết công ty EV bằng cách nhấp vào ổ khóa.
Bạn có thể nghĩ EV này hiển thị giống như hộ chiếu: bạn không đeo nó trên tay áo, nhưng nó cần có xác minh danh tính bất cứ lúc nào. Nếu người dùng không chắc chắn về một trang web, họ có thể nhanh chóng kiểm tra các chi tiết EV để xem pháp nhân nào sở hữu và vận hành trang web.
Ngoài việc có sẵn để khách hàng kiểm tra bất cứ lúc nào họ không chắc chắn về một trang web, chi tiết chứng chỉ EV được các thực thể khác sử dụng để xác minh danh tính:
- Phần mềm chống vi-rút sử dụng chi tiết chứng chỉ EV để phân biệt các trang web có uy tín với các trang web lừa đảo.
- Các chính phủ (đặc biệt là ở châu Âu) đang ngày càng yêu cầu các công ty giao dịch trực tuyến cung cấp thông tin nhận dạng được xác minh thông qua chứng chỉ EV SSL và / hoặc LEI.
Đối với hồ sơ, chúng tôi tin rằng các trình duyệt nên làm cho thông tin nhận dạng được xác minh như chi tiết EV nổi bật hơn chứ không phải ít hơn. Trừ khi / cho đến khi một giải pháp tốt hơn được triển khai, EV SSL vẫn là giải pháp tốt nhất hiện có để người dùng xác minh pháp nhân vận hành một trang web.
Điều đó đang được nói, những thay đổi này không thay đổi mục đích cơ bản, chứng chỉ EV SSL sẽ lấp đầy: cách để người dùng internet, phần mềm bảo mật và chính phủ xác minh pháp nhân vận hành trang web.
Với sự bùng nổ của tội phạm trực tuyến, các cơ quan quản lý đang ngày càng mong đợi các công ty trình bày danh tính được xác minh trực tuyến – chúng tôi tin rằng EV SSL (và các công cụ tương tự) sẽ là một phần quan trọng của internet trong nhiều năm tới.
Điểm mấu chốt
Không có thay đổi giao diện người dùng SSL nào là thay đổi trò chơi cho người dùng hoặc cho chủ sở hữu trang web. Hầu hết những thay đổi này là những thay đổi gia tăng dần dần chuyển nhiều người dùng và trang web hơn sang HTTPS – cân bằng, đó là một điều tốt cho người dùng, cho chủ sở hữu trang web và cho internet.