上周五Google 官方博客宣布其域名 Google.com 支持 HSTS 机制。

 

什么是HSTS机制,有什么作用?

      HSTS代表 HTTP Strict Transport Security ,是国际互联网工程组织IETE正在推行一种新的Web安全协议。

      它是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP

使用HSTS机制的必要性

      HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

      作为谷歌来说,支持HSTS当然十分必要,因为该网站的访问量十分巨大,因此安全问题更是重中之重。Google称在传输中加密数据有助于保护用户及其数据的安全,目前其主流浏览器都支持HSTS机制,未来几个月,其更多的域名和产品将都支持HSTS机制。

      因此只要网站支持HTTPS,针对HTTP的漏洞就越来越难以发挥作用。