HTTP严格传输安全将强制在所有域上进行安全连接

Facebook伦敦数据隐私团队宣布已升级其链接结构包含HSTS预加载。 这对于更安全的互联网来说是个好消息,因为这将有助于推进互联网加密。

当今的互联网正不断从不安全的HTTP过渡到更安全的HTTPS。从今年夏天开始,随着Chrome 66的发布,所有使用HTTP的网站都会被谷歌贴上负面标识并发出警告。互联网中所有不加密的网址都会在2019年前“死去”。Facebook的此举无疑是有助于加速变革的。

HSTS或HTTP严格传输安全性是一种HTTP头,一旦由互联网用户下载,就会通过HTTPS强制与该网站建立连接。

通常,您会看到一个网站添加HSTS标头,然后将其自身添加到HSTS预加载列表。 该名单由Google维护,指示浏览器在首次尝试连接时与给定URL建立安全连接。 这反过来又关闭了一个小型攻击媒介,其中一个互联网用户的系统在它的第一个连接上容易受到攻击,然后它就可以下载头部本身。

尽管许多现代浏览器支持HSTS,但有些人仍然使用不支持它的浏览器。 对于这些人,当他们从Facebook或Instagram导航时,我们将能够确保他们与受支持网站的首次连接是安全的,并避免将他们的连接暴露为未加密的流量。 

此外,浏览器中的HSTS列表可能已过时。 预加载列表本身只能在浏览器更新到新版本时更新; 并且未预加载的站点可能尚未被浏览器缓存。 最近的研究还表明,一些浏览器只能提供有限的HSTS支持 - 无论是通过在存储1024个条目后遗忘网站,还是仅仅不支持某些网站的HSTS - 意味着对HSTS的全面保护并不总是扩展到使用这些站点。

我们根据两个来源确定哪些链接可以升级到HTTPS。 首先,我们使用Chromium预加载列表,该列表在大多数主流浏览器中都有使用,我们会定期更新。 其次,我们记录来自Facebook上共享网站的HSTS标头。 我们将浏览器预加载列表与使用预加载指令提供服务的任何站点进行补充。

通过迫使用户关注HTTPS链接的手段,Facebook正在帮助加快HTTPS的发展,旨在让人们能更安全高速地加载网页。