来自 Chrome 团队的提议：所有浏览器把非 HTTPS 站点标注为不安全

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3610 天前的主题，其中的信息可能已经有所发展或是发生改变。

原文: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
译文: http://west.wodemo.com/marking-http-as-non-secure

译文

标注

站点

20 条回复 • 2015-04-20 10:49:46 +08:00

kmvan

2014-12-13 12:16:33 +08:00

如果打开http站点时候，chr弹窗说明此站点不安全，这样吗？
这不是摆明要人家买ssl么，站长们又得破费啊，称呼成本略高。
干脆直接只收录 ssl 站点，非 ssl 的都 K 掉，这才是根本～

SharkIng

2014-12-13 12:34:42 +08:00

也许慢慢的SSL也白菜价了，甚至免费了，也许慢慢的所有网站都标配HTTPS了

yfdyh000

2014-12-13 12:36:00 +08:00

https://letsencrypt.org/ 就快到了，一键、自助、免费 SSL 签发。

aaaa007cn

2014-12-13 12:51:38 +08:00

标注而已，怎么可能弹窗啊
再说，总会有一些用户基数还不小的换皮浏览器会不提示任何正常的安全风险，而只提示按它家标准的不安全的

yyfearth

2014-12-13 12:54:14 +08:00

@aaaa007cn 和我想得一样啊
到时候各家（国产）浏览器都可以名正言顺的把所有http网站标注成不安全
但是只要交了保护费嘛自然就没问题了就算真的不安全也没问题

Quaintjade

2014-12-13 13:10:10 +08:00

挺支持这个提议，不过应该不会在近期实现。
小网站主倒没什么影响，反正现在ssl成本比域名成本还低。受影响最大的应该是许多程序和大网站，比如Discuz!似乎尚未支持完全https，以及各种CDN以后也要换上https。

我还建议以后浏览器输入不带protocol的网址应该默认以https打开，必须手动输入 http:// 才以非https打开。为了避免用户以为浏览器出问题，可以在几秒无响应之后，提示：“该网站似乎不支持安全链接，是否尝试以不安全的进行连接？”。
而且必须配合http的不安全提示，否则网站把https 301到http等于白搭。