许多启用了HTTPS的网站都可以不安全地提供内容。
自2月份以来, 谷歌计划将非HTTPS网站标记为“不安全”, 而今天,随着Chrome 68的推出,这一变化正在向广大受众推广。
通过更改,每个站点现在都在其地址栏中获得一个标签:如果站点通过HTTPS加载,则为“安全”,否则为“不安全”。今年9月,Google将进行另一项更改并删除“安全”标签,标志着向安全HTTP是默认而非例外的世界过渡。
大多数主要的在线站点和服务现在支持并默认为HTTPS。正确配置后,服务器应重定向任何通过不安全HTTP访问页面的尝试以保护HTTPS,从而确保站点不会被截获或篡改。然而,Troy Hunt – Have I Been Pwned服务的创建者- 发现许多热门网站仍然可以不安全地提供内容。
有时这是因为网站根本没有从HTTP重定向到HTTPS; 其他时候它可能更微妙,例如某些页面允许HTTP,即使网站配置正确。这包括一些非常高流量的域名,例如中文搜索引擎baidu.com,Twitter的URL缩短器t.co和BBC的国际网站bbc.com。无论这些错误配置的原因是什么,结果是即使它们通常是安全的,但是恶意或恶意链接可能会导致某人不安全地访问这些网站。
甚至有些网站配置完全破损。例如,英国的Daily Mail,dailymail.co.uk,目前使用的SSL版本证书不正确,这意味着只有不安全的版本可用。