不過前(qian)提是BSI只對(dui)Mozilla Firefox68（ESR）、Google Chrome76、Microsoft Internet Explorer11和Microsoft Edge 44進行(xing)了測試，并(bing)不包括 Safari、Brave、Opera 與(yu) Vivaldi等瀏覽器。

此(ci)次測試是使(shi)(shi)用(yong)BSI于2019年9月發布的(de)(de)“現代(dai)安(an)全瀏(liu)覽器(qi)”指(zhi)南中詳述的(de)(de)規則(ze)進行的(de)(de)。BSI通常根據(ju)該指(zhi)南就可(ke)以安(an)全使(shi)(shi)用(yong)哪些(xie)瀏(liu)覽器(qi)向(xiang)政府機(ji)構(gou)和私(si)營公司提供建議。此(ci)次指(zhi)南更新完善(shan)了(le)現代(dai)瀏(liu)覽器(qi)新增(zeng)和改進的(de)(de)安(an)全措施(shi)與機(ji)制，例如HSTS、SRI、CSP 2.0、遙測處理(li)和改進的(de)(de)證書處理(li)機(ji)制。

根據BSI的新指南，被認(ren)為安全的現代 Web 瀏覽器必須滿(man)足以下(xia)最低要求：

必須支持TLS

必(bi)須具有(you)受信任證(zheng)書的列表

必須(xu)支持擴(kuo)展驗證（EV）證書

必(bi)須根據證(zheng)書(shu)吊銷列表（CRL）或在線證(zheng)書(shu)狀態協議（OCSP）驗證(zheng)加載(zai)的(de)證(zheng)書(shu)

瀏覽(lan)器必須使(shi)用圖標(biao)或顏色高亮(liang)來顯示通信何時加密(mi)到遠程(cheng)服務器或采(cai)用明文形式

僅在經(jing)過(guo)(guo)特(te)定用戶的批(pi)準后，才允許連接到使用過(guo)(guo)期證書運行的遠程網站

必須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)

必須支持 Same Origin Policy (SOP)

必須支持 Content Security Policy (CSP) 2.0

必須支(zhi)持子(zi)資源完整(zheng)性（SRI）

必須(xu)支持自動更新

必(bi)須為關鍵的(de)瀏覽器組(zu)件和擴展支持單獨的(de)更(geng)新機制

必須對瀏覽器更新進行(xing)簽(qian)名(ming)和驗證

瀏覽器的密(mi)(mi)碼管理器必須以加密(mi)(mi)形式存(cun)儲密(mi)(mi)碼

必須(xu)僅在用(yong)戶輸入主(zhu)密碼之后允(yun)許(xu)訪問瀏(liu)覽器的(de)內置(zhi)密碼庫

用戶必須能夠(gou)從瀏覽器的(de)密碼管理器中刪除(chu)密碼

用戶(hu)必須能夠阻止或刪(shan)除 cookie 文件

用戶必須能夠(gou)阻止(zhi)或刪除自(zi)動完成歷史記錄

用戶必須能夠阻(zu)止(zhi)或刪(shan)除瀏(liu)覽歷史記錄

組(zu)織(zhi)管理(li)員必須能夠配置或(huo)阻止瀏覽器發(fa)送遙(yao)測(ce)/使用數據

瀏覽(lan)器必須支持(chi)一種(zhong)機(ji)制來檢查有害(hai)內容/URL

瀏覽器(qi)應允許組織運行本地存儲的 URL 黑名單

必須支持一些設置，用戶可(ke)以在(zai)其中啟用/禁用插件、擴展(zhan)或腳本(ben)

瀏覽器必須(xu)能夠導入集中(zhong)創建的配(pei)置設置，非常適合大規(gui)模(mo)企業部署

必須允(yun)許(xu)管理員(yuan)禁用基(ji)于云的配置(zhi)文件同步功能

必須在(zai)初始(shi)化后(hou)以最小的操作系(xi)(xi)統權限運行在(zai)操作系(xi)(xi)統中

必須支持沙箱

所有(you)瀏覽器組(zu)件(jian)必須彼(bi)此隔(ge)離，并(bing)且與(yu)操作系統隔(ge)離。隔(ge)離組(zu)件(jian)之間的通(tong)信只能(neng)通(tong)過定(ding)義的接口進行，不能(neng)直接訪(fang)問隔(ge)離組(zu)件(jian)的資源

網頁需要(yao)彼此(ci)隔離(li)，最好以獨立進程的形式，還要(yao)允許線程級隔離(li)

必(bi)須使用支持(chi)堆棧和堆內(nei)存(cun)保護的編程語言(yan)對瀏覽器(qi)進行編碼

瀏(liu)(liu)覽器供(gong)(gong)應商必(bi)須(xu)(xu)在公開披露安(an)全漏(lou)洞(dong)后不超過21天提供(gong)(gong)安(an)全更(geng)新(xin)。如果主(zhu)瀏(liu)(liu)覽器供(gong)(gong)應商未能提供(gong)(gong)安(an)全更(geng)新(xin)，則組織必(bi)須(xu)(xu)移(yi)至(zhi)新(xin)的瀏(liu)(liu)覽器

瀏覽器必須使用OS內存保(bao)護，例如地址空(kong)間布局(ju)隨(sui)機化（ASLR）或數(shu)據執(zhi)行保(bao)護（DEP）

組織管理(li)員必須能夠管理(li)或阻止未經(jing)批準(zhun)的(de)附(fu)件/擴展的(de)安裝

根據(ju) BSI 的說法，Firefox 是唯一支持以上所(suo)有要求的瀏(liu)(liu)覽(lan)器，其它(ta)瀏(liu)(liu)覽(lan)器測試不通過的原因包括(kuo)：

缺少對主密碼機制的(de)支持（Chrome、IE、Edge）

沒(mei)有內置的(de)更新(xin)機制（IE）

沒有阻止遙測(ce)收集的選項(xiang)（Chrome、IE、Edge）

不支持 SOP（IE）

不(bu)支持(chi) CSP（IE）

不(bu)支持 SRI（IE）

不(bu)支持瀏覽器配置文件/不(bu)同的配置（IE、Edge）

缺乏(fa)組織透明度(du)（Chrome、IE、Edge）