读懂浏览器HTTPS安全提示（一）谷歌浏览器

HTTPS加密是互联网安全建设的基础，百度、淘宝、天猫等越来越多互联网巨头启用全站HTTPS，也带动了更多网站加入HTTPS加密的行列。普通用户也逐渐明白HTTPS比HTTP更安全，访问网银、购物等重要网站时要先观察是否有HTTPS加密保护。

但是在日常访问过程中，用户可能会发现有些网站HTTPS是绿色、有些却是红色，有些显示安全锁、有些却显示叹号。由于浏览器品牌不同、版本不同，对于HTTPS安全状态的标识符号也有些不同，让不少用户有点摸不着头脑。本文汇总介绍最新版本浏览器HTTPS不同状态的安全标识，让用户轻松判断网站安全状态。

（一）谷歌浏览器

1、  浏览器连接安全（Conection Security）分四种状态

HTTPS相关的安全标识多种多样，但其基本状态分为以下四种，谷歌的安全标识也是基于这四种状态进行细分的。

·有效HTTPS（EV HTTPS和普通HTTPS）

·HTTPS有小错误（安全，有小错误）

·HTTPS有大错误（无效HTTPS，确定不安全）

·HTTP

2、2016年7月最新版Chrome安全标识

基于用户研究和对浏览器面临的设计挑战的了解，谷歌提出了一组新的浏览器安全标识，用于表现有效HTTPS、HTTP不安全（“HTTPS有小错误”与“HTTP不安全”使用相同标识）、无效HTTPS不安全。

chrome52最新安全标识

此外，还结合一组互补字符串使用，让用户更容易理解安全标识的含义。

·对于有效HTTPS：显示“secure” 和“https”，配合绿色安全锁

·对于HTTP：显示“http”和“site notsecure”，配合黑色圆圈

·对于无效HTTPS：显示“notsecure”and “site not secure”，配合红色三角警告

Chrome 52 提示字符串

3、Chrome 56 对SHA-1和HTTP页面的警告标识

为了让更多用户了解使用SHA-1证书的不安全性和HTTP明文页面的不安全性。2017年1月底发布的Chrome 56将把SHA-1证书显示为“无效HTTPS”，把涉及敏感信息输入的HTTP页面标记为“HTTP不安全”。

SHA-1证书

Chrome浏览器阻止SHA-1的计划分两步渐进实施，为了给用户足够的过渡期，Chrome 56之前的浏览器版本，对于2016年1月1日之前签发的且有效期不超过2016年12月31日的SHA-1证书，仍采用中性的黑色圆圈标识，无不安全的文字说明。

sha1证书安全标识

但从Chrome 56开始，将停止支持所有由公共CA签发的SHA-1证书（包括中级根证书和终端证书），将所有SHA-1证书标记为“无效HTTPS”，显示红色三角警告。私设PKI签发的SHA-1证书必须设置本地信任锚，未设置本地信任锚策略的SHA-1证书也将显示不受信任。

Chrome 52红色三角警告

HTTP页面

HTTP页面采用明文传输协议，不提供任何方式的数据加密和验证，使传输数据处在的窃听、篡改、冒充这三大风险之中。此前，浏览器对于HTTP页面没有任何安全提示，却对相对更安全的含有小错误的HTTPS页面显示警告，让用户误认为HTTP页面比含有小错误的HTTPS页面更加安全。

为了让用户更加明确两者的区别，Chrome 56版本开始正式将HTTP页面标记为“不安全”，沿用中性的黑色圆圈标识，但增加了字符串Not Secure进行提醒。

Chrome 56将HTTP标记不安全

目前这种提示仅出现在涉及敏感信息输入的页面, 比如含密码或信用卡信息传输的HTTP页面，未来将拓展到更多HTTP页面，安全标识也将逐步由中性黑色圆圈升级为红色三角警告，和无效HTTPS标识一样。

Chrome将把HTTP标记红色三角警告

未来浏览器对于网站不安全连接的警告将会越来越严格，建议网站所有者尽快升级网站使用HTTPS加密连接，向正规CA机构申请SHA-2签名的SSL证书替换不安全的SHA-1证书。沃通新证书产品已经上线，全球信任，支持所有浏览器。

沃通WoSign原创整理，转载内容请注明出处

​