以下是Troy Hunt的一篇客座帖子，他被授予安全专家、博客作者和Pluralsight作者。他也是流行音乐的创造者我被淘汰了吗？，这是一项免费的聚合服务，帮助超过50亿个受数据泄露影响的帐户的所有者。我仍然清楚地记得我在90年代中期作为一名大学生第一次涉足互联网。那时候的网络时代当然更简单；我们没有做我们的个人银行业务或纳税申报，也没有处理我们的医疗记录，所以对传输层加密的整个前提并不是一个高度优先考虑的问题。随着时间的推移，这些服务出现了，我们通过其他人的网络和计算机发送的材料的保密性也随之得到了一些保证。SSL在当时是很昂贵的，但是银行和类似的公司可以考虑到他们的业务性质来吸收这些成本。然而，在当时，在安全地提供流量的前提下，存在着各种各样的问题，从证书的成本到获取和配置它们的努力，到对基础设施性能的影响。在过去的几十年里，我们一直在修复这些缺陷，并随后推动网站所有者走向一个更安全的网络。今天只代表了这一过程的又一步：从今天起，Chrome将所有不安全的连接标记为。。。不安全！我想更深入地探讨一下这个前提，因为肯定有人质疑浏览器是否需要对缺少加密的问题如此守口如瓶。我特别看到这种观点的表达，因为它涉及到不需要保密的网站，例如一个不收集个人数据的静态网站。但让我为这篇博文做准备，因为我们实际上在解决一个非常基本的问题：推送HTTPS仅仅是为了解决原始未加密web的设计缺陷。我的意思是想一想——我们一直在努力建立数十亿个网站，通常不知道请求是否成功到达正确的目的地，它们是否被观察到、被篡改、被记录或在某个地方被错误处理。今天，我们永远不会坐下来设计这样的网络，但与网络的许多方面一样，我们仍在处理在一个非常不同的时代做出的决策的遗留问题。所以回到Chrome和"不安全"的视觉指示器。当我在HTTPS上运行培训时，我通过安全连接在浏览器中加载一个网站，然后我问一个问题——"我们怎么知道这个连接是安全的"？我们通常会把下一个"安全"这个词看成是"我们见面"这个词。我们知道连接是安全的，因为浏览器明确地告诉我们这一点。现在，让我们用一个不安全的连接加载一个站点-"我们怎么知道这个连接不安全"？因为答案总是"我们知道它不安全，因为它没有告诉我们它是安全的"！这不是奇怪的倒置吗？是一个奇怪的反转，因为到今天为止，安全连接和非安全连接都得到了相同的视觉处理，所以最后，我们有了奇偶性。但平等是我们真正想要的吗？回想一下Chrome没有告诉你一个不安全的连接不安全的日子（啊，这已经是过去了，这不是很好吗？！）；浏览器可以逃脱这一切，因为那是正常状态！当连接"正常"时，为什么要明确地说什么呢？但现在我们正在改变"正常"的含义，在未来，这意味着我们将能够应用与Chrome相同的逻辑：正常状态下的视觉指示器将不再是必要的，换句话说，我们不再需要说"安全"。相反，我们可以关注偏离正常的消息，即不安全的连接。谷歌已经表示，我们将来也会看到这种行为，这只是时间问题。让我们花点时间思考一下"正常"这个词与互联网上的安全通信有关的含义，因为它是随着时间而变化的。一个完美的例子是斯科特·赫尔姆（Scott Helme）六个月一次的Alexa Top 1M报告。斯科特每年会发布几次关于世界上最大的网站采用一系列不同安全结构的统计数据。其中一个安全结构是使用HTTPS，或者更具体地说，站点自动将不安全的请求重定向到安全方案。在上面的报告中，他发现6.7%的网站在2015年8月这样做。让我们看看这个数字的变化有多快，为了易读，我将在下面列出它们，然后是6个月前的扫描所做的更改：2015年8月：6.7%2016年2月：9.4%（+42%）2016年8月：13.8%（+46%）2017年2月：20.0%（+45%）2017年8月：30.8%（+48%）2018年2月：38.4%（+32%）这是一个惊人的高增长率，几乎每12个月翻一番。当然，我们不可能永远维持这个速度，但要看你怎么看，这个数字甚至比这个还要高。Firefox的遥测数据显示，到目前为止，73%的请求都是通过安全的HTTPS连接提供的。这一数字远高于斯科特，因为世界上最大的网站比较小的网站更频繁地实施HTTPS。事实上，斯科特自己的数据生动地说明了这一点：图中的每一点都是由4000个网站组成的集群，最大的在左边，最小的在右边。很明显，超过一半的大型网站默认使用HTTPS，而最小的网站则接近四分之一。这可以解释为这样一个事实：更大的服务往往是那些我们传统上认为安全级别更高的服务；它们是电子商务网站、社交媒体平台、银行等等。自相矛盾的是，这些网站也是那些不太容易被转为HTTPS的网站，而图右侧的网站更可能是午餐时间的工作。上个月，我制作了一个名为"HTTP很简单"的免费4部分系列，第1部分在5分钟内就从零HTTPS变成了完整的HTTPS。它又花了5分钟才获得比大多数银行的传输层加密更高的等级。HTTPS真的很简单！然而，仍然有人不相信安全连接总是必要的。他们认为，内容完整性真的不那么重要，恶意的一方到底能用博客这样的静态网站做什么呢？好问题！他们可以不按特定顺序插入脚本来修改易受攻击的路由器的设置并劫持DNS，将cryptominers注入浏览器，将人们的浏览器武装到DDoS大炮中，或向毫无防备的受害者提供恶意软件或钓鱼网页。几周前，我在一个视频里演示了所有这些风险。请注意，所有者质疑是否需要HTTPS的网站正是那些需要5分钟练习才能支持Cloudflare的网站，因此，不管有多必要进行讨论，在这方面所付出的实际努力通常可以忽略不计。哦-而且它可以让你访问HTTP/2和Brotli压缩，这两个都是很好的性能，而且只能在HTTPS上工作，使你能够访问一系列只有在安全上下文中才可用的浏览器功能。今天只是一系列已经运行了一段时间的修正。去年1月，Chrome和Firefox都将不安全页面标记为接受密码或信用卡不安全。10月份，Chrome开始在将数据输入任何不安全的表单时显示相同的视觉指示器。今年3月，iOS上的Safari开始在不安全的登录表单中输入文本时显示"不安全"。我们都知道今天发生了什么，正如我之前指出的，随着我们朝着一个更"默认安全"的网络迈进，未来会有更多的变化。（顺便说一句，请注意，是多家浏览器供应商推动了这一变化，这绝不是谷歌的独到之处。）一点一点，我们正在逐步修复网页的设计缺陷。Cloudflare的一句话今年6月，特洛伊写了一篇题为"HTTPS很简单！，这突出了使用Cloudflare将站点转换为HTTPS的简单性。值得注意的是，正如他在帖子中指出的那样，我们（愉快地）惊讶地看到这个系列。在Cloudflare，我们的使命是建立一个更好的互联网，这其中的一部分是使现代网络技术向所有人普及。任何人在2014年推出SSL都是我们第一个推出SSL的动机。随着Chrome68的发布，我们希望继续简化HTTPS，并推出了一个免费工具，帮助任何网站所有者解决HTTPS配置的常见问题。你准备好了吗？检查您的网站与我们的免费SSL测试。