上周五，Google安全團隊宣布他們已經(jīng)對其域名Google.com采用了HSTS。

　　FreeBuf百科：什么是HSTS？

HSTS代表HTTP Strict Transport Security，這是國際互聯(lián)網(wǎng)工程組織IETE正在推行的一種Web安全協(xié)議。HSTS的作用是強制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接，因此如果你訪問的網(wǎng)站啟用了HSTS，那么瀏覽器將會記住這一標(biāo)記，確保未來每次訪問該網(wǎng)站都會自動定向到HTTPS，不會在無意中訪問不安全的HTTP。

HSTS這個協(xié)議還能保護用戶的數(shù)據(jù)免受HTTPS降級攻擊（跳轉(zhuǎn)時直接降級為HTTP）、中間人攻擊、SSL攻擊和Cookie劫持。這一協(xié)議被認為是保護HTTPS連接免受SSL攻擊最好的方法，但這一協(xié)議還沒有被大多數(shù)瀏覽器支持。

95%的Https網(wǎng)站沒有使用HSTS

去年三月份，Netcraft做了一項調(diào)查報告，報告顯示當(dāng)前百分之95的服務(wù)器運行的HTTPS沒有正確地設(shè)置HSTS或是配置錯誤，以至于將HTTPS連接暴露于攻擊風(fēng)險之中。而針對這些不安全的站點最容易的攻擊場景是 HTTPS 降級攻擊，攻擊者可以選擇多種方式來迫使一個看起來安全的 HTTPS 連接根本不使用數(shù)據(jù)加密，以進行數(shù)據(jù)竊取。

為了支持HSTS機制，谷歌方面做了很多的工作，包括解決混合內(nèi)容(HTTPS頁面含有HTTP內(nèi)容)，損壞的HREFs（超文本引用），以及重定向到HTTP。除此之外，谷歌還需要對一些遺留的服務(wù)進行更新。由于谷歌的訪問量很大，安全問題更是重中之重，所以支持HSTS對于谷歌來說十分必要。谷歌表示在傳輸中加密數(shù)據(jù)有助于保護用戶及其數(shù)據(jù)安全。目前旗魚瀏覽器等主流瀏覽器都支持HSTS機制，因此只要網(wǎng)站支持https，針對HTTP的漏洞就越來越難以發(fā)揮作用。

谷歌的技術(shù)產(chǎn)品經(jīng)理Jay Brown表示：

我們對于實施HSTS是很激動的，在傳輸時加密數(shù)據(jù)可以保護用戶數(shù)據(jù)的安全，我們會在未來幾個月內(nèi)將其擴展到更多的領(lǐng)域和谷歌產(chǎn)品當(dāng)中。