示意圖,與新聞事件無關。

Google網域名稱註冊服務Google Domains本周宣布,將漸次把手上的45個頂級網域名稱加入HSTS(HTTP Strict Transport Security)預載名單,未來造訪這些網域的瀏覽器都會自動選擇HTTPS傳輸。

HSTS為一HTTP的強制安全技術,可強制瀏覽器透過HTTPS加密連線與網站進行通訊,預防中間人攻擊,而Google打造了HSTS Preload List開源專案,這是一份供瀏覽器使用的HSTS預載名單,舉凡瀏覽器造訪名單上的網址都會優先選用HTTPS連結,例如當使用者輸入http://gmail.com時,瀏覽器會將它改成https://gmail.com。包括Chrome、Firefox、Safari、IE或Microsoft Edge或Opera都內建了該名單。

不過,該名單最初是由不同的網址所組成,Google先是在2015年把.google預級網域名稱( top-level domains,TLDs)納入該名單,只要是造訪.google的任何網站,瀏覽器都會優先選擇HTTPS連線,現在Google決定新的TLDs也將比照辦理。

目前Google Domains負責經營45個頂級網域名稱,包含.eat、.dad、.how、.mov、.new、.app、.zip、.foo及.dev等,Google打算先將.foo及.dev納入HSTS Preload List中。

Google軟體工程師Ben McIlwain解釋,使用TLD等級的HSTS將替這些網域名稱帶來基本的安全保障,申請人只要選用安全的TLDs再加上SSL憑證的配置就能確保連線安全,不必自行將網址提交至HSTS Preload List,此外,提交申請到觸及大多數使用者通常需要好幾個月的時間,Google的作法將更有效率。

McIlwain表示,除了把TLDs加進HSTS Preload List之外,Google Domains也將陸續開放使用者註冊這些更為安全的頂級網域名稱。雖然Google Domains網域名稱註冊服務於2014年便已發表,但迄今仍為測試版狀態。


Advertisement

更多 iThome相關內容