Ze względu na ciągłe zagrożenia bezpieczeństwa, z jakimi spotykamy się codziennie podczas przeglądania Internetu, opłaca się blokować wszystko tak bardzo, jak to możliwe. Mając to na uwadze, jak zmusić Google Chrome do korzystania z HTTPS, gdy tylko jest to możliwe? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser omawia niektóre rozwiązania, które pomogą czytelnikowi dbającemu o bezpieczeństwo uzyskać satysfakcję z HTTPS.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser kiewic chce wiedzieć, jak zmusić Google Chrome, aby zawsze używał HTTPS zamiast HTTP, gdy tylko jest to możliwe:
Wiele stron internetowych oferuje obie wersje (HTTPS i HTTP), takie jak https://stackoverflow.com i http://stackoverflow.com na przykład.
Czy jest jakiś sposób, aby zmusić Google Chrome, aby zawsze próbował najpierw HTTPS przed HTTP podczas pisania czegoś takiego jak stackoverflow.com w pasku adresu?
Jak zmusić przeglądarkę Google Chrome, aby zawsze używała protokołu HTTPS zamiast HTTP, gdy tylko jest to możliwe?
Odpowiedź
Współtwórcy SuperUser, paradroid i Omar, mają dla nas odpowiedź. Po pierwsze, paradroid:
Możesz spróbować Rozszerzenie HTTPS Everywhere dla przeglądarki Google Chrome.(Uwaga od redaktora: Zalecamy HTTPS Everywhere, jeśli chcesz mieć pewność, że HTTPS jest włączony wszędzie, gdzie jest dostępny. To rozszerzenie jest jednak mniej potrzebne niż kilka lat temu, ponieważ coraz więcej witryn domyślnie włącza protokół HTTPS).
Następnie odpowiedź od Omara:
Wymuś HTTPS w Google Chrome
Google jest jedną z bardziej agresywnych firm, które starają się to osiągnąć. Oto kilka sposobów na wymuszenie HTTPS w Chrome, aby zapewnić jak najbezpieczniejsze przeglądanie.
Uruchom Google Chrome z HTTPS
Włącz obsługę Google Chrome, wpisując chrome://net-internals/ w pasku adresu, a następnie wybierz HSTS z menu rozwijanego. HSTS to HTTPS Strict Transport Security, sposób, w jaki strony internetowe zawsze wybierają HTTPS. Korzystając z tego ustawienia, możesz teraz wymusić HTTPS dla dowolnej domeny, a nawet „przypiąć” domenę, aby tylko bardziej zaufany podzbiór urzędów certyfikacji mógł identyfikować tę domenę. Minusem jest to, że jeśli wymusisz domenę, która w ogóle nie ma SSL, nie będziesz mógł uzyskać dostępu do witryny.
Ścisłe zabezpieczenia transportu HTTP (projekty Chromium)(Uwaga od redaktora: nie możesz już samodzielnie zmienić tej opcji w Chrome. Właściciele witryn nadal mogą włączyć HSTS w swoich witrynach).
Wymuś HTTPS za pomocą rozszerzenia KB SSL Enforcer
To rozszerzenie wymusi HTTPS w Google Chrome dla witryn, które go obsługują. Pamiętaj, że nie jest całkowicie zabezpieczony przed niesławnym Ognistym Owcem, ale znacznie minimalizuje ryzyko. Ze względu na ograniczenia przeglądarki Google Chrome rozszerzenie KB SSL Enforcer przekierowuje stronę podczas jej ładowania. Zobaczysz szybkie migotanie niezaszyfrowanej strony, ale przekierowuje Cię tak szybko, jak to możliwe.
Strona główna rozszerzenia KB SSL Enforcer
Użyj rozszerzenia HTTP, aby wymusić HTTPS w Google Chrome
Rozszerzenie Użyj HTTP wymusza na zdefiniowanych witrynach używanie protokołu HTTPS zamiast HTTP. Jest fabrycznie wyposażony w dwie zdefiniowane witryny: Facebook i Twitter. Podobnie jak w przypadku poprzedniego rozszerzenia, początkowe żądanie jest wysyłane do stron internetowych nie korzystających z protokołu HTTPS.
Użyj strony głównej rozszerzenia HTTPS (Uwaga od redaktora: to rozszerzenie nie jest już dostępne.)
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.