Заставить Chrome попробовать HTTPS вместо HTTP, если это возможно?

43

Многие веб-сайты предлагают как HTTP, так и HTTPS, например, http://stackoverflow.com и https://stackoverflow.com.

Есть ли способ заставить Chrome сначала попробовать HTTPS перед HTTP, когда я только печатаю stackoverflow.comв адресной строке?

kiewic
источник
5
обратите внимание, что некоторые сайты производят разный контент с разными протоколами.
把 友情 留 在 无 盐
2
Это не увеличит безопасность, поскольку злоумышленник может довольно легко вызвать возврат к http. Если вам действительно нужна дополнительная безопасность, браузер должен помнить, какие домены ранее работали по протоколу https, и не переключаться автоматически на http на сайтах, где https работал в прошлом. (Это не будет строгим, как HSTS, потому что вы все равно можете вручную набирать http://и использовать http:ссылки.)
kasperd
@ Soubunmei Мне любопытно. У вас есть какие-нибудь примеры этого?
paradroid
@paradroid это теоретически возможно, однако я был бы удивлен, если бы кто-то сделал это на практике (смотрите, вы можете добавить порт к вашей конфигурации vhost
Шейн

Ответы:

52

Вы можете попробовать это расширение HTTPS Everywhere Chrome.

Paradroid
источник
1
Кажется, это расширение с большим количеством пользователей и открытым исходным кодом. Даем попробовать.
kiewic
2
Это было как раз первое, что пришло мне в голову, когда я прочитал этот заголовок. Но имейте в виду, что это может сломать некоторые вещи. Если он запрашивает страницу с HTTPS и работает, но по какой-то странной причине он не может использовать HTTP для подключения к странице с помощью XHR, то у вас останется страница с ошибкой.
Исмаэль Мигель
2
@IsmaelMiguel это, вероятно, хороший отказ от ответственности для любого расширения, которое укрепляет ваш браузер; Повышенная безопасность обычно достигается за счет некоторого удобства использования. IMO «по умолчанию» с возможностью включения, если вы чувствуете себя в безопасности, намного лучше, чем альтернатива, но требует некоторой осведомленности конечного пользователя.
Майк Оунсворт
2
@MikeOunsworth Для большинства пользователей такая осведомленность почти равна нулю. Большинство читают только «повышенную безопасность и конфиденциальность» и сразу переходят к их использованию. Тогда они обвиняют расширение в этом. Но все же, было бы неплохо добавить это сюда. Я знаю, что у Tor есть проблемы с StackExchange.
Исмаэль Мигель
29

Принудительно HTTPS в Chrome

Google - одна из наиболее агрессивных компаний, стремящихся к тому, чтобы это произошло. Вот несколько способов заставить HTTPS в Chrome обеспечить максимально безопасный просмотр.

Запуск Chrome с HTTPS

Chrome поддерживает ввод chrome: // net-internals / в адресную строку, а затем включает пункт меню HSTS. HSTS - это HTTPS Strict Transport Security: для сайтов, которые выбирают всегда использовать HTTPS. HSTS поддерживается в Google Chrome. Используя этот параметр, теперь вы можете принудительно установить HTTPS для любого домена, который вам нужен, и даже «закрепить» этот домен, чтобы только более доверенному подмножеству CA разрешалось идентифицировать этот домен. Недостатком является то, что если вы форсируете домен, который вообще не имеет SSL, вы не сможете попасть на сайт.

Chromium.org

Принудительное использование HTTPS с расширением KB SSL Enforcer

Это расширение заставит HTTPS в Chrome для веб-сайтов, которые поддерживают, оно не полностью защищено от печально известного Firesheep, но оно значительно минимизирует риск. Из-за ограничений Chrome KB SSL Enforcer перенаправляет страницу во время загрузки. Вы получаете быстрое мерцание незашифрованной страницы, но она перенаправляет вас как можно быстрее.

KB SSL Enforcer

Расширение HTTP для Force HTTPS в Chrome

Использование HTTP заставит определенные сайты использовать HTTPS вместо HTTP. Он поставляется с двумя предустановленными сайтами: Facebook и Twitter. Как и в предыдущем расширении, первоначальный запрос отправляется на сайт, не использующий HTTPS.

Использовать HTTPS

0m3r
источник
1
Обратите внимание, что наличие HSTS определяется оператором сервера, а не клиентом.
CVn
4
@ MichaelKjörling На самом деле, это отчасти зависит от клиента, так как они могут иметь предварительно загруженные списки (как объяснено в ссылке Chromium в ответе).
Бруно