GlobalSign 博客

随着谷歌计划修改安全网站指示器,是时候卸下你的挂锁了

在我们人类的现代日常生活中,即使我们已经消灭了大部分的捕食者,我们仍然在寻找可见的安全迹象,以确保我们是安全的。我们的车里会亮起一个灯来确认安全气囊是否正常工作,智能手表上的一个参数告诉我们心脏还在正常跳动,一个绿色的交通灯告诉我们可以穿过马路或穿过十字路口而不会被任何人撞到(或者至少不应该被撞到)。这些迹象帮助我们避免表现出任何战斗或逃跑的信号,这些信号可能会增加血压,导致过度通气,或仅仅是变得焦虑。


对于网站来说,浏览器自2008年以来一直在地址栏中显示一个挂锁图标,这让用户知道网站正在使用SSL/TLS加密。“HTTPS”前缀随后在2014年被引入,以使其更加可见(对于那些可能没有将图标与安全标志链接的人……你永远不知道)。我不会为了不让你烦死或者开始无休止的讨论而去讲绿色酒吧的故事。



安全指示器提供可信性
这些不同的安全指标旨在为用户提供有关他们访问的网站安全性的更多信息。可信性,域名背后的所有者和敏感数据的安全性,你可以或不可以输入。

当网站拥有由可信第三方机构颁发的有效SSL/TLS证书时,所有这些迹象都会被激活,该证书可以确认连接是安全的,访问的域名(或网站)确实是它所宣称的那个。SSL/TLS证书的有效期是另一个主题,虽然现在还不是一个主题(我们会在这里讨论一整天)。


挂锁并不能抵御网络攻击

然而,这个安全标志并不是防弹的,也不能给你完全的保证,因为攻击者仍然可以创建伪造的SSL/TLS证书并欺骗用户获取他们的敏感数据。所以,不要盲目相信,保持警惕。在网上输入密码或信用卡号码等敏感信息之前,一定要仔细检查URL和其他安全连接的迹象。

现在,随着越来越多的网站开始使用SSL/TLS证书 (根据谷歌,超过90%的页面现在加载在谷歌Chromeore), 由于像谷歌和其他巨头的巨大推动默认加密,我们都已经习惯了看到这些迹象,甚至不再真正关注它,因为这种保护是期望成为规则。

考虑到HTTPS的泛化,浏览器正在思考保持这些指示器的真正必要性,导致谷歌最近宣布将在今年晚些时候在Chrome 117中删除安全网站指示器。

在网站安全方面保持焦虑水平 
但是如果没有这些安全标志,我们如何确保我们的连接是否仍然安全?我们如何确保自己不会成为诈骗、网络钓鱼或其他网络攻击的受害者?换句话说,我们如何确保我们的焦虑水平和血压不上升?

重要的是要记住,这些指标的消失并不一定意味着网站是不安全的;你只是没有一个可见的确认。这是良好的网络卫生习惯的一部分,仔细检查URL,并寻找其他安全连接的标志——挂锁和HTTPS不是唯一的标志。

综上所述,是的,像HTTPS前缀和浏览器地址栏上的挂锁这样的安全指示符意味着在不久的将来会消失,不是因为谷歌这么说,而是因为用户对它的需求越来越少。如果非HTTPS成为例外,为什么我们仍然要突出HTTPS网站?但这并不意味着有理由担心。

这些标志的消失可能会帮助用户对他们的在线安全做出明智的决定,而不是盲目地相信这些标志。

你可以骑没有辅助轮的“Webcycle”
还记得你学骑自行车的日子吗?你可能首先有两个小的侧轮,让你保持平衡,确保你不会摔倒。当你越来越习惯于编写你的自行车时,这些侧轮失去了它们的本意,所以你的父母(或祖父母)把它们取了下来。从那以后,你用两个轮子而不是四个轮子骑自行车,你仍然没事;你不会失去平衡,也不会掉下去。与https前缀和挂锁一样,作为互联网用户,您已经掌握了您的技能,所以,是时候采取这些安全标志。

如果你(受害者)没有这些迹象,那不是因为它们消失了,而是因为你作为一个互联网用户的鲁莽行为。

是的 – SSL/TLS证书应该在任何地方和任何时候都使用,但既然每个人都在使用它,让它可见有什么意义?

近期博客