¿Forzar a Chrome a probar HTTPS en lugar de HTTP cuando sea posible?


43

Muchos sitios web ofrecen HTTP y HTTPS, por ejemplo, http://stackoverflow.com y https://stackoverflow.com

¿Hay alguna forma de obligar a Chrome a probar HTTPS primero antes de HTTP cuando solo escribo stackoverflow.comen la barra de direcciones?


55
tenga en cuenta que algunos sitios producen contenido diferente con protocolos diferentes.
把 友情 留 在 无 盐

2
No agregará mucha seguridad porque un atacante puede desencadenar una recuperación a http con bastante facilidad. Si realmente desea la seguridad adicional, el navegador debe recordar qué dominios funcionaron anteriormente sobre https y no recurrir automáticamente a http en los sitios donde https funcionaba en el pasado. (Eso no sería tan estricto como HSTS, porque aún puede escribir http://y usar http:enlaces manualmente .)
kasperd

@soubunmei tengo curiosidad. ¿Tienes algún ejemplo de eso?
paradroid

@paradroid es teóricamente posible, sin embargo, me sorprendería si alguien hiciera eso en la práctica (vea que puede agregar un puerto a su configuración de vhost
Shane

Respuestas:


52

Puedes probar esta extensión HTTPS Everywhere Chrome.


1
Esta parece ser la extensión con más usuarios y código fuente abierto. Dándole una oportunidad.
kiewic

2
Esto fue exactamente lo primero que me vino a la mente cuando leí este título. Pero tenga en cuenta que puede romper algunas cosas. Si solicita una página con HTTPS y funciona, pero por alguna extraña razón no puede usar HTTP para conectarse a una página usando XHR, entonces se quedará con una página con errores.
Ismael Miguel

2
@IsmaelMiguel es probablemente un buen descargo de responsabilidad para cualquier extensión que endurezca su navegador; El aumento de la seguridad generalmente se produce a expensas de cierta usabilidad. La OMI "bloqueo por defecto" con la opción de habilitar si se siente seguro es mucho mejor que la alternativa, pero requiere cierta conciencia del usuario final.
Mike Ounsworth

2
@MikeOunsworth Tal conocimiento es casi nulo para la mayoría de los usuarios. La mayoría solo lee "mayor seguridad y privacidad" y comienza a usarlo. Luego culpan a la extensión por esto. Pero aún así, debería ser una buena idea agregarlo aquí. Sé que Tor tiene algunos problemas con StackExchange.
Ismael Miguel

29

Forzar HTTPS en Chrome

Google es una de las compañías más agresivas que presionan para que esto suceda. Aquí hay varias formas en que puede forzar HTTPS en Chrome para garantizar que su navegación sea lo más segura posible.

Startup Chrome con HTTPS

Chrome admite escribir chrome: // net-internals / en la barra de direcciones y luego incluye el elemento del menú HSTS. HSTS es HTTPS Strict Transport Security: una forma para que los sitios elijan usar siempre HTTPS. HSTS es compatible con Google Chrome. Con esta configuración, ahora puede forzar HTTPS para cualquier dominio que desee e incluso "anclar" ese dominio para que solo un subconjunto más confiable de CA pueda identificar ese dominio. La desventaja es que si fuerza un dominio que no tiene SSL, no podrá acceder al sitio.

Chromium.org

Forzar HTTPS con la extensión KB SSL Enforcer

Esta extensión forzará HTTPS en Chrome para sitios web compatibles, no es completamente segura contra el infame Firesheep, pero minimiza en gran medida el riesgo. Debido a las limitaciones de Chrome, KB SSL Enforcer redirige la página mientras se está cargando. Obtiene un parpadeo rápido de la página sin cifrar, pero lo redirige lo más rápido posible.

KB SSL Enforcer

Extensión HTTP para forzar HTTPS en Chrome

Usar HTTP obligará a los sitios definidos a usar HTTPS en lugar de HTTP. Viene precargado con dos sitios definidos: Facebook y Twitter. Al igual que la extensión anterior, la solicitud inicial se envía al sitio que no usa HTTPS.

Use HTTPS


1
Tenga en cuenta que la presencia de HSTS la determina el operador del servidor, no el cliente.
un CVn

44
@ MichaelKjörling En realidad, depende en parte del cliente, ya que pueden tener listas precargadas (como se explica en el enlace de Chromium en la respuesta).
Bruno
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.