Chrome安全性憑證 Https登入問題
Chrome21版在背景應用程式更新下, 悄悄地幫用戶更新版本. 本次釋出的穩定版, 在HTML5支援度評分增加到437分. (Chrome Canary-22達442分). 也修正了15個bugs. 新增的特色已經有資訊客分享了, 但是釋出三天以來官方一直沒有對一個小問題釋疑, 那就是網址列小小的安全憑證提示icon. 以往的地球圖示(globe icon)變成空白頁圖示(blank page icon).單純地更新圖樣那是沒有問題的, 重要的是, 以往的版本在需要登入網站時會自動跳到 Https加密頁. 而Chrome21版除了google.com所屬的網域可以看到熟悉的綠色小鎖頭之外, 其他的網站還是維持非安全傳輸的狀態, 這讓人無法信任新版是否有足夠的安全性?!
我在它發布的第一天就發現這個問題, 當了奧客回報過去, 還是沒人知道怎麼一回事?? 換成22開發版還是同樣的狀況. 我也只能猜測:Google Chrome對於他的安全沙箱的自滿已經到了可以捨棄SSL安全加密機制...
事實上我們瀏覽的大部分網站是無需使用https加密傳輸的, 因為並沒有帳密, 個資的安全問題, 我只是單純地接收網頁資訊, 而且大部分還是透過已驗證過的IP網頁來加速瀏覽. Chrome沙盒機制會將所有的資訊在不同的分頁獨立不混淆; 也無法由第三方插件主動指使本機的應用程式.
但是這樣以為安全就太天真了!
為何Google首頁卻明白地使用Https網址, 其他網站卻光禿禿的? 偽裝的入口網站才是最危險的!
可以試試登入其他需要安全驗證的網站, 例如網路銀行或Email. Chrome就會自動引導至SSL-TLS加密頁, 登入後仍是Https網址. 如圖:
網站對會員個資應有登入的安全驗證機制, 以往由瀏覽器來承擔風險是不公平的. 對我們這種一般網民來說, 哪裡會知道如何處理SSL登入才對? 有的網站, 例如facebook.com或twitter.com這類可能包含註冊隱私的網站所申請的安全憑證登入方式卻被chrome21版忽略, 而採取無加密傳輸層. 所以新版的Chrome 21才出現三天, 市占率立刻掉了 1% . 因為使用者對這個版本產生不信任感, 於是使用別種瀏覽器或試圖恢復舊版. 面對這種問題, Google居然無動於衷?!
現在能做的是將 "設定" ➤ "顯示進階設定" ➤ "HTTPS/SSL管理憑證" 勾選下方的 "檢查伺服器憑證的撤銷情況". 盡量避免讓假網站有機可趁.
需要登入帳密的網站, 加入書籤前修改成 https:// 前綴, 如圖:
至於無法強制使用https的網站, 如Yahoo, 有其安全驗證機制吧?