上周五，Google安全團(tuán)隊(duì)宣布他們已經(jīng)對(duì)其域名Google.com采用了HSTS。

FreeBuf百科：什么是HSTS？

HSTS代表HTTP Strict Transport Security，這是國(guó)際互聯(lián)網(wǎng)工程組織IETE正在推行的一種Web安全協(xié)議。HSTS的作用是強(qiáng)制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接，因此如果你訪問(wèn)的網(wǎng)站啟用了HSTS，那么瀏覽器將會(huì)記住這一標(biāo)記，確保未來(lái)每次訪問(wèn)該網(wǎng)站都會(huì)自動(dòng)定向到HTTPS，不會(huì)在無(wú)意中訪問(wèn)不安全的HTTP。

HSTS這個(gè)協(xié)議還能保護(hù)用戶的數(shù)據(jù)免受HTTPS降級(jí)攻擊（跳轉(zhuǎn)時(shí)直接降級(jí)為HTTP）、中間人攻擊、SSL攻擊和Cookie劫持。這一協(xié)議被認(rèn)為是保護(hù)HTTPS連接免受SSL攻擊最好的方法，但這一協(xié)議還沒(méi)有被大多數(shù)瀏覽器支持。

95%的Https網(wǎng)站沒(méi)有使用HSTS

去年三月份，Netcraft做了一項(xiàng)調(diào)查報(bào)告，報(bào)告顯示當(dāng)前百分之95的服務(wù)器運(yùn)行的HTTPS沒(méi)有正確地設(shè)置HSTS或是配置錯(cuò)誤，以至于將HTTPS連接暴露于攻擊風(fēng)險(xiǎn)之中。而針對(duì)這些不安全的站點(diǎn)最容易的攻擊場(chǎng)景是 HTTPS 降級(jí)攻擊，攻擊者可以選擇多種方式來(lái)迫使一個(gè)看起來(lái)安全的 HTTPS 連接根本不使用數(shù)據(jù)加密，以進(jìn)行數(shù)據(jù)竊取。

為了支持HSTS機(jī)制，谷歌方面做了很多的工作，包括解決混合內(nèi)容(HTTPS頁(yè)面含有HTTP內(nèi)容)，損壞的HREFs（超文本引用），以及重定向到HTTP。除此之外，谷歌還需要對(duì)一些遺留的服務(wù)進(jìn)行更新。 由于谷歌的訪問(wèn)量很大，安全問(wèn)題更是重中之重，所以支持HSTS對(duì)于谷歌來(lái)說(shuō)十分必要。谷歌表示在傳輸中加密數(shù)據(jù)有助于保護(hù)用戶及其數(shù)據(jù)安全。目前旗魚瀏覽器等主流瀏覽器都支持HSTS機(jī)制，因此只要網(wǎng)站支持https，針對(duì)HTTP的漏洞就越來(lái)越難以發(fā)揮作用。

谷歌的技術(shù)產(chǎn)品經(jīng)理Jay Brown表示：

我們對(duì)于實(shí)施HSTS是很激動(dòng)的， 在傳輸時(shí)加密數(shù)據(jù)可以保護(hù)用戶數(shù)據(jù)的安全， 我們會(huì)在未來(lái)幾個(gè)月內(nèi)將其擴(kuò)展到更多的領(lǐng)域和谷歌產(chǎn)品當(dāng)中。