Chrome火狐联手封杀HTTP

各位网站管理员们，当你还沉浸在春节假期已远去的忧桑中时，是否发现和春节前相比，网站发生了一点变化？没错，HTTP页面开始遭到Chrome和火狐（Firefox）浏览器的安全警告。
知名网站也中招，被贴上不安全标签：

Chrome56对HTTP页面的安全警告

火狐51对HTTP页面的安全警告
过个节回来，咋就变这样了？？这不是要吓跑我的流量吗！！

HTTP网页被警告，网站流量很受伤
原来，当中国人民忙着过年时，远在美国的mozilla和谷歌分别于1月23日和1月25日发布了本公司的最新版浏览器，即火狐51与Chrome56。作为浏览器领域的竞争对手，二者几乎在同时进行重大版本更新具有针锋相对的意味。但殊途同归的是，火狐与Chrome的最新版本均开始对HTTP页面，也就是非HTTPS页面进行安全警告。那么，Chrome与火狐为什么要联手对HTTP网站亮出警告？网站又该如何得到浏览器的安全信任？
HTTP遭封杀，HTTPS不能少
HTTP曾经是互联网上应用最广泛的网络通讯协议，通过使用浏览器（如ie、火狐、chrome、safari等），客户端发起到网站服务器上指定端口（默认端口为80）的HTTP通讯请求，从网站获取超文本（文本、图像、声音等）到本地浏览器。通俗点讲，从输入网址域名，到网站内容显示到电脑屏幕，即完成一次HTTP通讯的过程。
HTTP为推动互联网的发展做出了巨大贡献，但随着时间的推移，HTTP的低安全性越来越无法适应复杂的网络环境。为此，人们在HTTP的基础上加入SSL协议形成HTTPS，为浏览器和服务器之间的通讯进行加密并验证服务器身份，避免通讯信息被黑客截取和“钓鱼”网站的仿冒。与HTTP相比，HTTPS的安全性已然脱胎换骨。但习惯成自然，再加上实现HTTPS需要一定费用，多数网站仍在使用HTTP。
为此，互联网行业的引领者、规则制定者们开始通过封杀HTTP的使用空间加速HTTPS的普及。例如微信小程序就必须使用HTTPS，苹果应用也有类似的ATS政策即将实行。而此次Chrome与火狐的更新堪称有史以来对HTTP网站最具杀伤力的一次封杀，因为根据2017年1月的数据显示，Chrome与火狐在全球浏览器市场份额的占比近7成。如果网站依然使用HTTP，就有可能在未来丧失近7成浏览器用户的信任，这对绝大多数网站来说是无法承受的损失。

2017年1月全球浏览器市场份额
申请SSL证书，即刻远离HTTP警告
既然使用HTTP存在流失大量用户的风险，那采用HTTPS就成为网站的必然选择。HTTPS=HTTP+SSL协议，而SSL协议的实现，也可以说HTTPS的实现需要在网站服务器端部署由第三方CA（数字证书管理机构）签发的SSL证书。HTTPS深获业界青睐的两大功能——传输通讯加密与网站身份认证也是SSL证书赋予的，但一些问题也随之而来：
第一，为满足谷歌、火狐等浏览器厂商的安全标准，CA要花费重金建设SSL证书根证书系统，再消耗大量时间、人力、物力将根证书植入所有浏览器的证书库，确保证书功能完整；
第二，为防止SSL证书被非法网站利用，CA需要对所有证书申请进行人工审核，并建立完善的风控体系；
第三，由于各个网站的服务器软件、版本等情况存在不同，所以SSL证书在安装、使用过程中可能出现种种问题，需要CA提供解决方案。
如果网站的SSL证书未能获得浏览器信任或被错误安装、使用，就会出现下图中的红叉，这和针对HTTP页面的安全警告一样尴尬。

CA投入大量时间、资金建设系统、进行入根和人工审核工作，不可能提供完全免费且功能完整的证书。所以SSL证书，特别是国外CA的证书普遍存在价格高、签发慢的问题。而国内证书因起步较晚，除成本、签发速度有一定优势外，长期在入根、风控等方面落后于国外CA，这些问题也成为HTTPS在中国普及的障碍。
不过随着中国金融认证中心（CFCA）在2016年完成入根工作，中国CA第一次获得全球所有浏览器厂商的信任，可与国外顶级CA比肩。考虑到2017年国内HTTP网站面临的严峻形势及响应国家信息安全产品国产化的号召，CFCA计划在今年以免费试用、买一赠一等不计成本的方式大力推广自有品牌的国产SSL证书。目前，已有一批HTTP网站通过CFCA升级为HTTPS网站，远离了浏览器安全警告。而依然在使用HTTP的网站应利用大批用户尚未升级到火狐51与Chrome56的空档期，尽快向CA申请SSL证书。

Chrome56对安装了CFCA SSL证书的网站给予安全信任
如果您希望了解更多与HTTPS相关的信息，请拨打010-59798680或登录ssl.cfca.com.cn查询。