谷歌將強制45個頂級域名使用HSTS HTTPS連接

Google 正在繼續推動通用加密，要求所有 45 個頂級域名（TLD）在其控制下進行安全連接。頂級域名是 URL（.com、.org、.net、.gov、.int、.edu 等）后綴結尾的域名。為了確保其所有 45 個頂級域名，Google 將使用 HSTS 或 HTTP 嚴格的運輸安全。

自從至少在 2010 年將 Gmail 移動到 HTTPS 時，Google 一直在推動通用加密或 HTTPSEverywhere。從去年開始對個人網站的 SSL 證書及加密進行施壓。從 2018 年開始，每當有人訪問仍然通過 HTTP 服務的網站時，Google 會在地址欄中放置一個“不安全”的指示。

什么是 HTTPS 嚴格傳輸安全

HSTS 是一種機制，強制 Web 瀏覽器只通過 HTTPS 連接到您的網站。有一些稱為 HSTS 預加載列表的東西，它自動存儲在瀏覽器中，并告訴他們自動執行 HTTPS 連接。這增加了一層安全性，因為它防止降級攻擊。

當瀏覽器收到一個網站的 HSTS-意味著網站所有者已啟用 HTTP 嚴格傳輸安全-它更新其 HSTS 列表，以便 HTTP 連接永遠不會遭到重置。但是，在瀏覽器收到 Header 之前，你仍然很容易受到攻擊。因此 HSTS 仍是存在瑕疵的。

不過 Google 已基本上為其所有頂級域名解決了這個問題。

將所有頂級域名放在 HSTS 預載列表上的優點是什么

HSTS 預加載列表可以包含域，子域和頂級域名。直到 2015 年，沒有人嘗試添加頂級域名，Google 添加了同名的 .google。現在它增加了其他 44 個頂級域名。這有很多優點。

通過將所有頂級域名置于列表中，瀏覽器將自動執行與該頂級域名的任何域的 HTTPS 連接-只要它們已安裝了 SSL 證書。這可以防止用戶嘗試進行首次連接時發生攻擊的任何風險，因為默認情況下，該域已經在頂級域名級別的預載列表中。

然而，獲取 HSTS 預載列表可能需要幾個月的時間。將自家頂級域名放進預加載列表，算是 Google 對其他網站擁有者的貼心之舉。作為域名注冊商，它也更具吸引力。當然，這些頂級域名中只有三個是活躍的-.google，.how 和 .soy，第四個 .app，即將上線。

Google 的這一做法可能會形成一個趨勢。隨著 SSL 迅速成為需求，增強你的 SSL 產品（例如，保證 HSTS 預加載列表中的一個位置）將會比以往更重要。我們期待看到更多的域名注冊商將整個頂級域名添加到列表中。

來自: cnBeta