近期，Mozilla发布了Firefox 83版本浏览器，最大变化是引入了HTTPS-Only模式。启用此模式后，可将所有连接升级为HTTPS，进一步加强客户端到Web服务器端的信息加密传输，并在非HTTPS安全连接时给予警告提醒。

为什么需要HTTPS-Only

当前，大多数网站已支持HTTPS，但许多网站经常由于以下原因，仍存在使用不安全协议。

1、网站未采用HTTPS协议；

2、网站采用HTTPS，但站内部分资源（如图像、视频、CSS、JS等）采用HTTP进行连接，导致HTTPS和HTTP内容混合同时存在。

使用不安全的HTTP协议，可能导致数据泄露等情况发生。

来源：谷歌透明度报告

启用“HTTPS-Only”后，Firefox将在可能的情况下将连接升级为安全状态，与网站建立完全安全的连接。对于不支持HTTPS的网站，Firefox将采取明显提示策略，即显示一条错误警告信息，揭示潜在安全风险，经确认后方可继续。

HTTPS如何成为信息安全未来

回顾2020年网站信息安全政策变化，除HTTPS-Only新模式应用之外，也有包括禁用低版本TLS协议、服务器证书有效期缩短至1年、阻止混合内容等多项策略落地实施。

· 停止支持TLS 1.1及TLS 1.0

3月份开始，苹果、谷歌、微软、Mozilla，陆续发布新版浏览器禁用TLS 1.0和TLS 1.1。

· SSL证书有效期缩短为398天

为提升安全性，苹果、谷歌、Mozilla等浏览器厂商相继宣布，不再信任自2020年9月1日后新发放的有效期超过398天的服务器证书。

· 阻止HTTPS混合内容

10月，谷歌发布Chrome 86，对于HTTPS混合内容，会显示警告并中止数据传输，直至用户选择继续或取消。

HTTPS应用已成为保护网络信息安全中的基石，随着行业政策的不断推进，尤其是证书有效期的缩短，对服务器证书更新、管理带来更大挑战。

中国金融认证中心（CFCA）可颁发完全自主可控的国产全球服务器证书，并于2020年推出在线自助、自动化SSL证书申请、审核、颁发等证书全生命周期管理平台，实现最快10分钟签发EV及OV SSL证书，为企业高效管理服务器证书提供帮助。

责任编辑：韩希宇