Google Domains将强制45个顶级网域採用HTTPS连结

示意图，与新闻事件无关。

Google网域名称注册服务Google Domains本周宣布，将渐次把手上的45个顶级网域名称加入HSTS（HTTP Strict Transport Security）预载名单，未来造访这些网域的浏览器都会自动选择HTTPS传输。

HSTS为一HTTP的强制安全技术，可强制浏览器透过HTTPS加密连线与网站进行通讯，预防中间人攻击，而Google打造了HSTS Preload List开源专案，这是一份供浏览器使用的HSTS预载名单，举凡浏览器造访名单上的网址都会优先选用HTTPS连结，例如当使用者输入http://gmail.com时，浏览器会将它改成https://gmail.com。包括Chrome、Firefox、Safari、IE或Microsoft Edge或Opera都内建了该名单。

不过，该名单最初是由不同的网址所组成，Google先是在2015年把.google预级网域名称（ top-level domains，TLDs）纳入该名单，只要是造访.google的任何网站，浏览器都会优先选择HTTPS连线，现在Google决定新的TLDs也将比照办理。

目前Google Domains负责经营45个顶级网域名称，包含.eat、.dad、.how、.mov、.new、.app、.zip、.foo及.dev等，Google打算先将.foo及.dev纳入HSTS Preload List中。

Google软体工程师Ben McIlwain解释，使用TLD等级的HSTS将替这些网域名称带来基本的安全保障，申请人只要选用安全的TLDs再加上SSL凭证的配置就能确保连线安全，不必自行将网址提交至HSTS Preload List，此外，提交申请到触及大多数使用者通常需要好几个月的时间，Google的作法将更有效率。

McIlwain表示，除了把TLDs加进HSTS Preload List之外，Google Domains也将陆续开放使用者注册这些更为安全的顶级网域名称。虽然Google Domains网域名称注册服务于2014年便已发表，但迄今仍为测试版状态。