2016年1月11日,W3C宣布已完成了所有的服务器升级,为W3C的所有开放资源提供基于 HTTP 及 HTTPS 的访问方式,全面支持安全加密及认证访问。W3C 在 2015年技术架构组(TAG)的一份报告中倡导在 Web平台中采用安全通信技术(secure communication)。W3C感谢近期Web应用安全工作组(Web Application Security Working Group)的工作,客户端(浏览器)实现的支持,以及W3C系统团队细致的部署升级工作。到目前位置,我们已经能够为所有 W3C的开放资源(包括 W3C的英文网站、各工作组制定的技术规范、文档、各类DTD、词汇表等)提供基于 HTTP 的访问,从而支持对内容的机密性、完整性、认证性保护。
升级具体内容及可能存在的副作用包括:
-支持 Upgrade-Insecure-Requests HTTP 请求头,透明地将 HTTP 请求升级为 HTTPS 请求。这一特性需要浏览器支持。
-支持 Strict-Transport-Security HTTP 请求头(HSTS),通知浏览器对 w3.org 域的访问请求透明地升级为安全请求。目前,所有近期发布的浏览器版本都已提供对这个请求头的支持。
-为保持兼容性,我们并没有在服务器端将所有 HTTP 请求重定向为对应的 HTTPS 请求。
-升级可能导致在某些代理服务器配置条件下出现重定向的死循环,部分不支持 Strict-Transport-Security 请求头的浏览器版本可能提示“混合内容(Mixed Content)"告警信息。
关于通过 HTTPS 访问这些开放Web资源带来的变化、挑战以及一些可能的副作用,请参阅 W3C的博客文章:W3C 官方网站提供 HTTPS 和 HSTS 协议支持(W3C Blog: Supporting HTTPS and HSTS on w3.org)。
评论已关闭