加密的谷歌搜索(在https://encrypted.google.com)和普通的 HTTPS 谷歌搜索(在https://google.com )有什么区别吗?
在安全性方面,通过加密的 Google 搜索浏览有什么好处?
请注意,这不是关于HTTP与HTTPS的问题。这是两项 Google 服务。
https://google.com 和 https://encrypted.google.com 有什么区别?
信息安全
加密
tls
Web应用程序
隐私
http
2021-09-06 22:15:32
4个回答
经过 AviD 的说明并在 Xander 的帮助下,我们进行了一些测试,结果如下
1. 点击广告:
https://google.com:Google 会将您带到 HTTP重定向页面,他们会将您的搜索查询附加到引荐来源信息。https://encrypted.google.com:如果广告客户使用 HTTP,Google 不会让广告客户知道您的查询。如果广告客户使用 HTTPS,他们将正常收到推荐人信息(包括您的搜索查询)。
2.点击正常搜索结果:
https://google.com:如果网站使用 HTTP,Google 会将您带到 HTTP重定向页面,并且不会将您的搜索查询附加到引荐来源信息。他们只会告诉网站您来自 Google。如果它使用HTTPS,它将正常接收referer信息。https://encrypted.google.com:如果您在结果中单击的网站使用 HTTP,它将不知道您来自哪里或您的搜索查询是什么。如果它使用HTTPS,它将正常接收referer信息。
EFF 的一篇博文中涵盖了相同的主题。
编辑:截至 2018 年 4 月 30 日,谷歌放弃了 encrypted.google.com。据谷歌称,该域用于为用户提供一种安全搜索互联网的方式。现在,所有 Google 产品和大多数较新的浏览器(如 Chrome)都会自动使用 HTTPS 连接。
在撰写本文时(2013 年 7 月),两个站点对密钥交换算法的偏好不同。要在 Chrome 中进行检查,请单击挂锁图标并选择“连接”选项卡。
针对 Chrome 28,vanilla google.com 使用 ECDHE_RSA, encrypted.google.com 使用 ECDHE_ECDSA。两种算法都提供前向保密。https://www.imperialviolet.org/2011/11/22/forwardsecret.html
有关详细信息,请使用 SSL Labs 服务器测试比较配置
今天(2018 年 3 月), encrypted.google.com 已弃用,自 2018 年 4 月 30 日起,encrypted.google.com 将重定向到 www.google.com。
从基础架构的角度来看(服务器、证书、TLS 参数),不再有显着差异。尽管请求由相同的服务器处理(请参阅此答案的末尾),但两个域之间仍然存在一些差异:
本地化域重定向
encrypted.google.com 不会重定向到其他域,而 google.com 会尝试重定向到特定国家/地区的域 ( ccTLD )。
为了避免这种重定向,通常建议使用https://google.com/ncr 。但是,这仅在启用 cookie 时才有效。要防止在不需要 cookie 的情况下发生重定向,请将gws_rd=cr参数附加到 URL。(对于以下几点,我将不再区分 www.google.com 和 ccTLD)
Google 搜索品牌
与 google.com 不同,encrypted.google.com 的 UI 不显示指向其他 Google 产品/应用程序的链接。例如,将google.com (archived)上的标头与encrypted.google.com (archived)进行比较。这可能是因为encrypted.google.com 是专门为加密搜索引入的(如今,https 支持已成为公认的默认设置;当时 https 是作为可选功能引入的)。引荐来源网址泄漏和用户跟踪
在这两种情况下,正常搜索结果的HTTP引荐来源网址不包含明文形式的原始搜索词(尽管有许多晦涩的 URL 参数可能用于跟踪用户,如果该网站使用谷歌服务,如谷歌分析)。
这种关键字隐藏通常(取决于浏览器、设备、浏览器功能,如 JavaScript)通过不直接链接到最终目的地,而是通过使用中间重定向 URL 作为搜索结果来实现,例如[google domain]/url?q=[destination URL](广告通过多个重定向 URL 和包括原始搜索字词,无论 Google 域如何)。
有时(同样,取决于浏览器等)谷歌使用<meta content="origin" name="referrer">去除 HTTP 引用,以及用于跟踪的替代方法(例如信标或超链接审计)。(在撰写本文时,encrypted.google.com 在 Google Chrome 中使用的是前者,而 www.google.com 使用的是后一种方法。但这并没有多大意义。例如在 Internet Explorer 11 中,前一种方法用于两个谷歌域。)
要保留原始目标 URL 而不会泄露引荐来源网址,可以使用我的“Don't Track Me Google”浏览器扩展:https ://github.com/Rob--W/dont-track-me-google
(即使没有谷歌等网站的任何干预,也可以清洗HTTP的referer。例如,当发起者是HTTPS,目的是HTTP,或者当使用Firefox的隐私浏览模式时,或者如果用户正在使用标志或扩展禁用/剥离引用(Chrome的示例,Firefox的示例))。
过去通过HTTP Referer的信息泄露也有区别,但现在不是这样了。比较 SSL 搜索的帮助页面:
- Google 搜索帮助 - SSL 搜索(2013 年 4 月检索)(许多文本段落)
- Google 搜索帮助 - SSL 搜索(最新)(几乎没有文字)
以下测试表明,两个不同的 Google 域可能会解析到不同的 IP 地址,并且这些 IP 地址能够处理任何 Google 搜索域的搜索查询。
$ host encrypted.google.com
encrypted.google.com is an alias for www3.l.google.com.
www3.l.google.com has address 172.217.20.78
www3.l.google.com has IPv6 address 2a00:1450:400e:80a::200e
$ host www.google.com
www.google.com has address 172.217.20.68
www.google.com has IPv6 address 2a00:1450:400e:800::2004
$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.68
$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.78
$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.68
$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.78
$ curl -I https://www.google.nl/?gws_rd=cr --resolve www.google.nl:443:172.217.20.78
最后的curl命令都接收搜索结果而没有进一步的重定向(我没有在这个答案中包含它们的输出)。要查看 SSL 详细信息,请替换-I为-vvv或使用类似openssl s_client -connect google.com:443.
根据 OP 问题,“在安全性方面,通过加密的 Google 搜索浏览有什么好处?”
没有区别。
详细信息:今天(2017 年 1 月 16 日)查看它们,我看到的唯一区别是“加密”的那个在右上角没有 Google Apps 图标。
www.google.com 的 DNS 指向 74.x 空间中的 6 个整体,而 encrypted.google.com 仅指向 216 空间中的一个。因此,看起来 www 比加密的负载平衡更多/更好。
它们都使用相同的证书,因此如果有人担心一个与另一个的私钥泄漏,它们是相同的。
阅读谷歌论坛,encrypted.google.com 是为了测试和开发而实现的,不需要使用。由于 www.google.com 现在是 https,因此在安全/加密方面无需使用 encrypted.google.com。
查看“curl”的响应,它们几乎相同,我看不出任何功能差异。
谷歌可以有不同的脚本吗?当然,但这不会改变对 OP 问题的答案。
其它你可能感兴趣的问题