强制Chrome在可能的情况下尝试使用HTTPS而非HTTP?

43

许多网站同时提供HTTP和HTTPS,例如http://stackoverflow.comhttps://stackoverflow.com

当我仅stackoverflow.com在地址栏中键入内容时,是否有任何方法可以强制Chrome先尝试HTTPS,然后再尝试使用HTTPS ?

google-chrome  https 
基维奇
source
5
请注意,某些网站使用不同的协议产生不同的内容。
把友情留在无盐2015年
2
它不会增加太多的安全性,因为攻击者可以很容易地触发回退到http。如果您确实想要额外的安全性,则浏览器必须记住以前通过https工作的域,而不会自动退回到https以前工作过的站点上的http。(这对HSTS来说并不严格,因为您仍然可以手动键入http://和使用http:链接。)
kasperd 2015年
@soubunmei我很好奇。你有什么例子吗?
仿形2015年
@paradroid在理论上是可能的,但是如果有人在实践中做到这一点,我会感到惊讶(请参见您可以在vhost配置中添加端口)-httpd.apache.org/docs/2.2/mod/core.html#virtualhost
Shane 2015年

Answers:

52

您可以尝试使用HTTPS Everywhere Chrome扩展程序。

仿人
source
1
这似乎是更多用户和开放源代码的扩展。试试看。
keewic 2015年
2
这正是我阅读此标题时突然想到的第一件事。但是请记住,它可能会破坏某些内容。如果它请求使用HTTPS的页面并且可以使用,但是由于某些奇怪的原因,它不能使用HTTP使用XHR连接到页面,那么您将看到一个有问题的页面。
Ismael Miguel
2
@IsmaelMiguel可能是使您的浏览器更坚固的任何扩展名的免责声明;增加安全性通常是以牺牲一些可用性为代价的。IMO“默认阻止”选项可以使您感到安全,这比其他方法要好得多,但确实需要最终用户注意。
Mike Ounsworth 2015年
2
@MikeOunsworth对于大多数用户而言,这种意识几乎为零。大多数人只阅读“增强的安全性和隐私性”,然后直接使用它。然后他们为此责怪扩展名。但是,在此处添加它应该是一个好主意。我知道Tor在StackExchange上遇到了一些麻烦。
伊斯梅尔·米格尔2015年
29

在Chrome中强制HTTPS

Google是力争做到这一点的更积极的公司之一。您可以通过以下几种方法在Chrome中强制执行HTTPS,以确保浏览尽可能安全。

使用HTTPS启动Chrome

Chrome浏览器支持在地址栏中输入chrome:// net-internals /,然后添加HSTS菜单项。HSTS是HTTPS严格传输安全性:站点选择始终使用HTTPS的一种方式。Google Chrome支持HSTS。使用此设置,您现在可以为所需的任何域强制使用HTTPS,甚至可以“固定”该域,以便仅允许信任度更高的CA子集来标识该域。不利的一面是,如果您强制使用一个根本没有SSL的域,则将无法访问该站点。

Chromium.org

使用KB SSL Enforcer扩展名强制HTTPS

此扩展将强制Chrome浏览器中支持HTTPS的网站使用。对于臭名昭著的Firesheep,它不是完全安全的,但是确实可以最大程度地降低风险。由于Chrome的限制,KB SSL Enforcer会在页面加载时重定向页面。您会快速浏览未加密的页面,但是它会尽快重定向您。

KB SSL强制实施器

HTTP扩展以在Chrome中强制HTTPS

使用HTTP将强制已定义的站点使用HTTPS而不是HTTP。它预装了两个定义的站点:Facebook和Twitter。与上一个扩展类似,初始请求不使用HTTPS发送到站点。

使用HTTPS

0立方米
source
1
请注意,HSTS的存在是由服务器操作员而不是客户端确定的。
CVn 2015年
4
@MichaelKjörling实际上,这部分取决于客户端,因为他们可以预加载列表(如答案中的Chromium链接中所述)。
布鲁诺
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.