浏览器显示“网站连接不安全”,是什么原因?

更新日期: 2019-07-17阅读: 13.3k标签: 安全

Chrome 浏览器显示“网站连接不安全”,这可能是您最近访问网站时经常遇到的问题,浏览器地址栏中域名前面显示圆圈i图标和“不安全”字样,点击这个字样,就会看到红字警告“你与此网站之间建立的连接不安全”,这是怎么回事?这样的网站可以继续访问吗?



Chrome 浏览器显示“网站连接不安全”的原因

“你与此网站之间建立的连接不安全”这是浏览器对HTTP网站的警告提示,这表示这个网站使用了HTTP协议传输数据,提醒用户谨慎访问网站。
HTTP协议是明文传输协议,无法加密传输数据或校验数据完整性,也无法进行身份验证。HTTP协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。通过HTTP协议传输的所有通信数据都在网络中明文“裸奔”,任何第三方都可以轻松地拦截、窃取、篡改数据,或伪造服务器欺骗用户。而HTTPS在HTTP的基础上加入了SSL/TLS协议,依靠SSL/TLS证书来验证服务器的身份,并为客户端和服务器端之间建立“SSL加密通道”,确保用户数据在传输过程中处于加密状态,同时防止服务器被钓鱼网站假冒,确保客户端和服务器之间的信息交互始终安全。


哪几种情况下,Chrome 浏览器显示“网站连接不安全”,Chrome浏览器在用户访问HTTP网站以及失效的HTTPS页面都会给出“不安全”警告,常见的有以下几种情况:


1)网站使用HTTP协议

为了推动更安全的HTTPS加密协议普及全网,谷歌Chrome从2017年开始逐步对HTTP网站标记“不安全”警告,并提示“你与此网站之间建立的连接不安全”。最终在Chrome 68版本中,对所有HTTP网站标记“不安全”,帮助用户了解与网站之间的连接何时不安全,同时激励网站所有者提高其网站的安全性。Chrome 68正式版本(68.0.3440.75)已经在2018年7月24日发布,随着Chrome用户端不断升级,Chrome 68版本的覆盖范围会越来越大,HTTP网站上的“不安全”警告将被越来越多的Chrome用户看到。
解决办法:用户遇到“不安全”警告应谨慎访问,避免在网站上输入敏感信息。网站所有者应及时申请SSL证书,部署到网站服务器上,为网站升级HTTPS加密,提升网站安全性。


2)SSL证书过期

为了确保私钥安全,SSL/TLS证书都设置了有效期限,最新的国际标准中SSL证书最长有效期为2年(825天)。如果SSL/TLS证书过了有效期,还没有及时替换新证书,网站会出现红色“不安全”警告。
解决办法:网站所有者应尽快撤下已过期SSL证书,并申请新证书,重新安装SSL证书到网站服务器上。



3)使用SHA-1证书

SHA-1算法已经被证实非常不安全,谷歌从Chrome 48开始阻止新签发的SHA-1算法SSL证书,从Chrome 56开始阻止所有SHA-1算法SSL证书。因此,使用SHA-1证书的网站,浏览器会标记红色“不安全”警告。

解决办法:SHA-1算法已经非常不安全,用户遇到此类网站应停止访问。网站所有者应该立即申请替换更安全的SHA-2算法SSL证书,并确保SSL证书符合其他国际标准要求,比如RSA公钥算法不低于2048位等。沃通SSL证书由全球信任顶级根签发,遵循最新国际标准,采用SHA256 以上的签名算法和2048位以上RSA算法,解除浏览器“不安全”提示。


4)网页存在不安全因素

一些网站已经部署了HTTPS证书,但是网页中调用了非HTTPS的外部资源(图片或js)时,网站会存在不安全因素,对这类网站浏览器也会标记“你与此网站之间建立的连接不安全”,如果用户选择加载不安全内容,浏览器就会升级为红色“不安全”警告。
解决办法:可以把该外链复制到URL中,并通过在http后添加个”s“访问,测试此外链是否支持https协议的链接。
如果可以访问,直接在代码中修改http为https的链接。如果不可以访问,则可以下载该资源到本地服务器上,并修改资源路径指向到服务器上,并使用相对路径如 <img src= image/button_111.gif> 或者完整的 https 路径


链接: https://fly63.com/article/detial/4238

Web前端安全同样不可忽视,编写前端代码时保持安全意识

随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂。前端的HTML、JavaScript、CSS、Flash等技术变成了前端攻击者和开发者的战场,网站安全问题也开始向前端倾斜。

AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。

AJAX请求真的不安全么?AJAX请求哪里不安全?怎么样让AJAX请求更安全?本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。

第三方 CSS 并不安全

第三方内容在其沙箱区域内具有强大的能力。如果你担心恶意用户诱使你的网站加载第三方资源,可以通过 CSP 用作防护手段,其可以限制加载图片,脚本和样式的来源。

WEB应用程序安全检查列表

检查页面隐藏或丢失的内容:检查webserver元数据文件,如:robots.txt, sitemap.xml,.DS_Store, .htaccess,检查搜索功能可能的注入或攻击方式,检查不同agent代理访问网站显示内容的是否一致

利用CSS注入(无iFrames)窃取CSRF令牌

要做到无iFrame,我将使用一种类似于之前我讨论过的方法:我将创建一个弹窗,然后在设置计时器后更改弹出窗口的位置。使用这种方法,我仍然可以加载受害者的CSS,但我不再依赖于受害者是否允许iFrame。

30 分钟理解 CORB 是什么

我当前的 chrome 版本是 v68,如果是 v66 或更低版本可能提示的警告信息略有不同。印象中只对 CORS 比较熟悉,CORB 是个什么鬼?好奇心迫使我想要了解一下它到底是什么,于是暂时把手头工作放下查了一些资料并花时间汇总了一下,就有了这篇文章

谈 target=‘_blank’的安全问题

大家都喜欢target=_blank, 因为新页面打开不影响原来的页面。但是这个存在安全问题, 由target=_blank打开的页面, 可以通过window.opener访问原来的窗口。遍可以简单的将网页导航到其他网站, 这就存在很多的安全隐患了, 比如钓鱼,这种问题解决起来也很简单, 在链接中加入rel=noreferrer noopener属性就可以了

Web安全测试检查单

Web安全测试检查单。上传功能:绕过文件上传检查功能,上传文件大小和次数限制。注册功能:注册请求是否安全传输,注册时密码复杂度是否后台检验,激活链接测试

一些安全相关的HTTP header

HTTP Strict-Transport-Security,简称为HSTS。X-Frame-Options:是否允许一个页面可在<frame>、<iframe>、<object>中展现的标记。X-XSS-Protection作用:防范XSS攻击。

第三方CSS安全吗?

第三方内容在其沙箱中具有很高的影响力。 虽然图像或沙盒iframe有着非常小的沙箱,但脚本和样式的作用范围却影响你的整个页面,甚至是整个站点。如果你担心用户会欺骗你的网站去加载第三方资源,可以使用CSP(内容安全策略)保证安全

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!