Google 域名支持 HSTS 强制访问定向到HTTPS安全协议

Google在官方博客宣布其域名 Google.com 支持 HSTS 机制。

什么是HSTS机制，有什么作用？

HSTS代表 HTTP Strict Transport Security ，是国际互联网工程组织IETE正在推行一种新的Web安全协议。

它是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保未来每次访问该网站都会自动定向到HTTPS，不会在无意中访问不安全的HTTP。

使用HSTS机制的必要性

HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP。

作为谷歌来说，支持HSTS当然十分必要，因为该网站的访问量十分巨大，因此安全问题更是重中之重。Google称在传输中加密数据有助于保护用户及其数据的安全。目前其主流浏览器都支持HSTS机制，未来几个月，其更多的域名和产品将都支持HSTS机制。

因此只要网站支持HTTPS，针对HTTP的漏洞就越来越难以发挥作用。