5月2日,谷歌在其 Chromium 博客中宣布,从 Chrome 117 版本开始,安全 HTTPS 连接将不再在 URL 旁边显示挂锁图标。在默认的Material You主题样式中,该锁头图标将被替代为如下O- -O构成的tune图标。
谷歌更改图标的原因
谷歌更改图标的主要原因是,在目前大规模使用HTTPS的时代,用HTTPS并不一定就代表这个网站是绝对安全的。过去几十年里,安全 HTTPS 连接激增,无论是日常应用还是支付相关的权限,HTTPS都已经成为常态,以至于它实际上已经成为默认连接。
然而在 2021 年的一项研究中,谷歌发现只有 11% 的研究参与者真正理解挂锁图标的含义——即这个挂锁图标只代表用户与网站之间的连接是安全的。其余89%的受访者则误解了挂锁的含义,认为使用 HTTPS 的网站是安全的,但实际上并非如此。大多数钓鱼网站甚至黑客也使用 HTTPS 连接,因为不验证企业身份的 DV SSL 证书也会激活 HTTPS 和挂锁图标。 因此,并不能证明使用HTTPS的网站就绝对安全。安全≠可靠。
另一个主要原因是为了将 HTTPS 推广为所有网站的默认协议。早期使用HTTPS的网站是少数,所以有小锁作为特殊标记;而在未来HTTPS是主流,因此不再特殊标记。此外,谷歌改变挂锁图标也是为了推广使用OV和EV证书,从而使验证了所有者身份的网站区别于其他网站。
新的图标有何意义
谷歌表示,新的图标更显“中立”,可以避免之前挂锁图标给用户造成的误解,不会让用户联想到网站是安全和值得信赖的,并且用户可以更加直观地了解到这个图标是可以点击的。展开后可以了解到网站的权限设置、cookies 细节等,本质上新的 tune 图标相比之前的挂锁图标在功能上没有任何改变。
根据 Chromium 博客,新图标将于 2023 年 9 月与 Chrome 117 中重新设计的界面一起推出。谷歌表示,当网站未使用 HTTPS 时,Chrome 仍将继续提醒用户。 当网站使用了HTTPS后, Android版 Chrome将获得一个新的“Tune”图标, Apple iOS 版Chrome则将直接消除挂锁图标。
综上,谷歌将通过在网站上放置“不安全”警告来继续识别不安全的网站,但是考虑到几乎任何人都可以获得DV SSL证书,此时仅仅显示网站使用HTTPS并不能代表该网站就是安全的。为了增强站点的安全性和可靠性,企业需要选择带有身份验证的OV或EV证书。加之网络钓鱼网站、电子邮件欺诈、黑客攻击等问题日益突出,公司必须使用可以企业验证的数字证书来验证身份的安全性。
今天分享的论文主题为对政府网站的测量。该工作由来自华盛顿大学ICTD实验室的研究人员完成,主要聚焦于衡量政府网站的HTTPS部署情况。值得注意的是,本项研究涵盖了位于“长尾”(即流行度排名不高)部分的政府网站,这是已有使用流行域名列表(如Alexa Top 1…