谷歌刚刚宣布，从2018年7月开始，随着Chrome68的发布，没有HTTPS的网页将被标记为"不安全"。Cloudflare的edge数据显示，56.62%的桌面请求来自Chrome，超过半数的web访问者在浏览未加密的HTTP站点时很快就会看到这个警告。收到此警告的用户将不太可能与这些网站进行交互或信任其内容，因此，尚未使用HTTPS的网站运营商必须计划在7月之前这样做。我们是怎么来的（为什么）？对于那些关注Chrome团队公开声明的人来说，这一宣布并不令人意外。自2014年以来，谷歌一直在为这一变化做好准备，Chrome的老板Parisa Tabriz在推特上发文，克里斯·帕尔默（Chris Palmer）在一封广为传播的电子邮件中表示纪念。虽然这一步对用户来说是一个重要的、潜在的不和谐因素，但这绝不是谷歌为更好地影响网站管理员行为而采取的最后一步。但他们为什么要（现在）做出这种改变？谷歌推动HTTPS应用的主要动机很简单：一个安全的浏览体验有利于商业。在网络上感到安全的用户会花更多的时间浏览广告和其他谷歌付费提供的服务。（需要说明的是：这些动机丝毫不会削弱Chrome团队的出色工作，Chrome团队成员出于各种非商业原因热衷于保护用户。我们赞扬他们为使网络成为一个更安全的地方所做的努力，并很高兴看到其他浏览器也效仿他们的做法。）Google必须感到现在是时候做出改变了，这要归功于HTTPS页面加载量持续稳步攀升，而且与之前的增量步骤相比，影响微乎其微。宣布这一变化的Chrome安全产品经理emilyschechter写道："我们相信，到2018年7月，https的使用率将达到足够高的水平，这样就可以了。"。目前，具有安全来源的用户交互与非安全用户交互的比率为69.7%；五个月前，这一比率仅为62.5%，因此很容易想象克里斯•帕尔默提出的75%的阈值将在7月份达到。就在一年前，这样的改变还太具有破坏性了，但多亏了Google和webPKI生态系统（包括Cloudflare）的其他参与者的努力，已经为100%采用铺平了道路。如今，HTTPS速度快，部署简单，如果不是免费的话也是划算的，而且不再有不使用SSL/TLS的借口。即使是静态站点也需要加密，以防止恶意第三方跟踪您的用户或向您的站点注入广告。HTTPS普及的重要里程碑，以及使用HTTPS的页面加载百分比。最后一列右对齐的表tr td:最后一个子项{文本对齐：右；}日期行动%HTTPS12013年下半年美国国家安全局：爱德华·斯诺登公布了数千页的机密文件，证实美国国家安全局一直在被动地收集明文通信。当时，很少有网站默认使用HTTPS，包括谷歌数据中心之间的流量，使得这些通信更容易被监控。约25%2014年8月6日Google发布了一篇博客文章，披露他们开始使用HTTPS的可用性作为SEO目的的正面排名信号。31.7%2014年9月24日Cloudflare宣布推出Universal SSL，它为我们网络上当时200万个站点提供免费的SSL证书和SSL/TLS终端。31.8%2014年12月12日谷歌的chrispalmer给blink dev发了一封电子邮件："建议：将HTTP标记为不安全的"。这项最初的提议已在这里被纪念。32.3%2015年2月26日谷歌的Joel Weinberger通过电子邮件向blink dev邮件列表发送邮件，表示"有意贬低"某些功能，除非与安全来源（即HTTPS）一起使用。最初，该列表包括：设备运动/方向、EME、全屏、地理位置和getUserMedia。33.7%2015年4月30日Mozilla的Richard Barnes发表了"抨击非安全HTTP"，宣布Mozilla打算最终从Firefox中"逐步淘汰非安全HTTP"。35.4%2015年10月19日ISRG的Josh Aas宣布，Let'sEncrypt，一个新的免费CA，现在受到所有主流浏览器的信任，这要归功于IdenTrust的交叉符号。37.9%2015年12月3日让我们加密正式发布的公测版。39.5%2016年6月14日苹果公司在WWDC16上宣布，到2016年底，应用商店将要求应用程序建立应用程序传输安全（ATS）才能被接受。ATS禁止使用纯文本HTTP，因此有助于推动HTTPS的采用。45.0%2016年6月22日谷歌的Adrienne Porter Feel等人。在USENIX第十二届可用隐私和安全研讨会上介绍重新思考连接安全指标。本文中，Adrienne和团队"选择并提出三个指标"，这些指标已经被Chrome采用（包括"不安全"标签）。45.1%2016年9月8日谷歌的Emily Schechter出版了《迈向更安全的网络》，她在书中写道，"从2017年1月开始（Chrome 56），我们将把收集密码或信用卡的HTTP页面标记为不安全，这是将所有HTTP网站标记为不安全的长期计划的一部分。"她还重申谷歌的计划，最终"将所有的HTTP页面标记为不安全的，并将HTTP安全指示符改为红色三角形，我们用它来表示损坏的HTTPS。"44.8%2017年1月20日Mozilla:Mozilla安全博客上一篇题为"沟通非安全HTTP的危险"的帖子通知用户，在即将发布的版本中，当用户在不使用HTTPS的页面上单击用户名或密码字段时，Firefox将显示上下文消息"。Firefox的上下文警告甚至比Chrome实现的更为突出。50.78%2017年1月31日谷歌：正如2016年9月宣布的，Chrome56开始将页面标记为"不安全"，如果页面i）包含密码字段，或者ii）用户与信用卡字段交互。51.9%2017年3月30日Cloudflare：为了帮助SaaS提供商推动其客户的自定义/虚荣域采用HTTPS，Cloudflare宣布了我们的SSL for SaaS提供商产品。从历史上看，SaaS提供商代表其最终用户获得（和更新）SSL证书非常困难和耗时，因此很少有人为所有客户提供免费SSL。55.1%2017年4月27日谷歌的Emily Schecter宣布，"从2017年10月开始，Chrome将在另外两种情况下显示"不安全"警告：当用户在HTTP页面上输入数据时，以及在匿名访问的所有HTTP页面上输入数据时。"56.3%2018年1月15日Mozilla的Anne van Kesteren发表了一篇博客文章"到处都是安全的上下文"，他在文章中解释说"立即生效，所有暴露在web上的新功能都将被限制在安全上下文中"。69.9%2018年2月8日谷歌的Emily Schecter写道，"从2018年7月Chrome68发布开始，Chrome将把所有的HTTP站点标记为"不安全"。69.7%Firefox通过HTTPS加载的页面占1%，平均14天。来源：Firefox遥测数据，让我们加密。谷歌还发布了Chrome的数据：https://transparencyreport.google.com/https/overview。接下来会发生什么？2018年7月后我应该期待什么？地址栏中的"锁"总是激励网站迁移到HTTPS，但一路走来，研究表明积极的信任指标不起作用。谷歌引入"不安全"是朝着弃用HTTP的最终目标迈出的重要一步，但正如前面提到的，这并不是他们的最后一步。我们预计谷歌对HTTP的攻击将持续到今年全年，最终宣布将完全删除锁定（并由只有在网站不使用HTTPS时才会显示的负面指标）取代。下面是关于这个预期的下一步的一些额外细节，以及对webPKI生态系统的一些额外预测。1谷歌将在2018年宣布锁图标的消亡，并在2019年1月随着Chrome 72的发布将其移除Chris Palmer在2014年给blink dev的电子邮件中包含了引入负面指标和逐步取消安全来源标记的"strawman提案"：安全>65%：非安全来源标记为可疑安全>75%：非安全源标记为不安全安全>85%：安全源未标记按照计划，Chrome68将在HTTPS页面加载达到75%时稳定下来。（根据与我们的edge连接和Firefox的遥测数据，我们对这一日期的初步预测为74.8%；然而，我们预计上周Chrome的发布将使这一比例在7月24日之前提高到75%以上。）展望未来，预计未来Chrome版本的稳定日期如下：Chrome 69–2018年9月4日Chrome 70–2018年10月16日Chrome 71–2018年12月4日Chrome 72的稳定发布间隔约为6-7周，预计将于2019年1月下旬上市。到目前为止，我们预计HTTPS页面的加载量将超过85%，这一比例足够高，谷歌可以确信这一变化不会造成太大的破坏。考虑到这个用户界面变化的重要性，我们预计他们会在2018年年中宣布。2火狐将很快宣布他们自己的时间表来标记不安全的起源谷歌并不是唯一一家采取措施将网络推向纯HTTPS的主流浏览器