国旭网络（www.xdns.cn）

据外媒报道，Google正在继续推动通用加密，要求所有45个顶级域名（TLD）在其控制下进行安全连接，其中包括。com、。org、。net、。gov、。int、。edu等后缀结尾的域名。为确保这45个顶级域名安全连接，Google将使用HSTS或HTTP严格的运输安全。调查显示，自从2010年将Gmail移至HTTPS时，Google一直在推动通用加密或HTTPSEverywhere。此外，从去年开始对个人网站的SSL证书及加密进行施压。知情人士透露，从2018年开始，每当有人访问仍然通过HTTP服务的网站时，Google会在地址栏中放置一个“不安全”的指示。

据悉，当浏览器收到一个网站的HSTS时，意味着网站所有者已启用HTTP严格传输安全，以便HTTP连接永远不会遭到重置。但是，在浏览器收到Header之前，你仍然很容易受到攻击。因此HSTS仍是存在瑕疵的。不过Google已基本上为其所有顶级域名解决了这个问题。

HSTS预加载列表可以包含域，子域和顶级域名。直到2015年，没有人尝试添加顶级域名，Google添加了同名的。google。目前，它还增加了其他44个顶级域名。据悉，通过将所有顶级域名置于列表中，浏览器将自动执行与该顶级域名的任何域的HTTPS连接-只要它们已安装了SSL证书。这可以防止用户尝试进行首次连接时发生攻击的任何风险，因为默认情况下，该域已经在顶级域名级别的预载列表中。

然而，获取HSTS预载列表可能需要几个月的时间。将自家顶级域名放进预加载列表，算是Google对其他网站拥有者的贴心之举。作为域名注册商，它也更具吸引力。当然，这些顶级域名中只有三个是活跃的。google、。how、。soy，第四个。app即将上线。Google的这一做法可能会形成一个趋势。随着SSL迅速成为需求，增强你的SSL产品将会比以往更重要。我们期待看到更多的域名注册商将整个顶级域名添加到列表中。