默认HTTPS即将全面到来！HTTP站点将被谷歌浏览器警告

2025/10/30 来源: 公钥密码开放社区作者: 爱名网浏览:78

2025 年 10 月 29 日消息——昨日，Google 宣布，自 2026 年 10 月发布的 Chrome 154 版本起，Chrome 浏览器将默认在连接到公共、未加密的 HTTP 网站之前请求用户许可。

2025 年 10 月 29 日消息—Google宣布自 2026 年 10 月发布的 Chrome 154 版本起，Chrome 浏览器将默认在连接到公共、未加密的 HTTP 网站之前请求用户许可。

这些说明了什么呢？说明默认HTTPS模式全面开始了，当用户首次访问不支持 HTTPS 的网站时，谷歌浏览器将默认弹出不安全提示，以谷歌浏览器的地位，预计其他浏览器厂商也会效仿和跟进。随着量子计算的不断发展，强制HTTPS的方式终将不远了。

早在 2021 年，Google 就在 Chrome 中引入了可选的 “HTTPS 优先模式”（HTTPS-First Mode），并增加了 “始终使用安全连接（Always Use Secure Connections）” 设置。该模式会在访问网站时优先尝试通过 HTTPS（安全超文本传输协议）建立连接，当 HTTPS 不可用时，则会显示一个可绕过的安全警告。

这一选项将从 2026 年起默认启用，以确保用户仅通过 HTTPS 访问网站，从而防止中间人攻击（MITM），避免攻击者窃听或篡改通过未加密 HTTP 协议传输的数据。

“自现在起一年后，也就是 2026 年 10 月发布的 Chrome 154 版本，我们将修改 Chrome 的默认设置，启用 ‘始终使用安全连接’ 选项。这意味着 Chrome 在首次访问任何不支持 HTTPS 的公共网站前，都会先征求用户的许可。”—— Chrome 安全团队表示

团队进一步解释道：“当链接未使用 HTTPS 时，攻击者可能会劫持页面导航，强制 Chrome 用户加载任意的、由攻击者控制的资源，从而让用户暴露在恶意软件、定向攻击或社会工程攻击的风险之下。”

HTTP 警告机制

Google 还补充称，在所有 “始终使用安全连接” 设置的变体中（无论针对公共网站还是私有网站），Chrome 不会频繁提醒用户访问同一个不安全网站。只要用户定期访问某个 HTTP 网站，Chrome 就不会重复发出警告。

这意味着，与以往每 50 次导航可能出现一次警告的情况不同，未来 Chrome 仅会在访问新的或极少访问的非 HTTPS 网站时提示用户。

此外，用户还可以自行选择，仅对公共网站启用“不安全连接警告”，或同时对公共与私有网站（包括企业内网）启用。

安全连接设置（图源：Google）

安全连接设置的计划

在全面默认启用该功能之前，Google 将首先于 2026 年 4 月（Chrome 147 版本），为启用了增强型安全浏览（Enhanced Safe Browsing） 的逾 10 亿用户启用针对公共网站的 “始终使用安全连接” 功能。

“我们预计此次过渡对大多数用户而言将较为平稳。但用户仍可通过关闭 ‘始终使用安全连接’ 选项来停用该警告。”—— Google 补充道。

“如果您是网站开发者或 IT 专业人员，并且您的用户可能受此功能影响，我们强烈建议您立即启用 ‘始终使用安全连接’ 设置，以便提前识别需要迁移的站点。”

以下为博客原文：

《默认启用 HTTPS》——

自 2026 年 10 月发布的 Chrome 154 版本起，Google 将调整 Chrome 浏览器的默认设置，启用“始终使用安全连接（Always Use Secure Connections）”功能。这意味着，当用户首次访问不支持 HTTPS 的公共网站时，Chrome 将默认弹出提示，要求用户确认是否继续访问。

Chrome 安全团队的使命是“让点击每一个链接都安全”。

安全的关键之一，是确保用户在输入网址或点击链接后，浏览器能准确地访问到用户期望的目标站点。

当链接未使用 HTTPS 时，攻击者可能劫持访问过程，强制 Chrome 用户加载由攻击者控制的内容，从而让用户暴露于恶意软件、定向攻击或社会工程攻击之中。

这类攻击并非假设场景——现成的导航劫持工具在公开渠道中随处可得，攻击者此前也确实通过不安全的 HTTP 连接实施过针对性入侵。

攻击者只需利用一次不安全的访问即可取得突破口，因此即便大部分网站已采用 HTTPS，单个 HTTP 请求仍可能带来严重风险。更糟糕的是，如今许多明文 HTTP 请求对用户几乎是“隐形”的——某些 HTTP 网站会立即跳转至 HTTPS 站点，使用户无法在事后看到 Chrome 的“不安全”警告，也就失去了防范风险的机会。

为应对这一隐患，Google 于 2022 年推出了“始终使用安全连接”可选功能。在该模式下，Chrome 会优先尝试使用 HTTPS 建立连接；若 HTTPS 不可用，则显示可绕过的安全警告。

Google 早前也曾公开表示，将逐步推动“默认使用 HTTPS”的目标。现在，我们认为时机已经成熟，应当为所有用户默认启用该功能。

现在，是时候了。

十多年来，Google 一直在发布 HTTPS 透明度报告（HTTPS Transparency Report），追踪 Chrome 浏览器中使用 HTTPS 的访问比例。

在该报告的最初几年中，HTTPS 的占比从 2015 年的约 30%–45% 快速提升至 2020 年的 95%–99%，此后增速趋于平稳。

HTTPS 占比，以主框架页面加载次数为基准

这一增长代表着网络安全的重大提升，也标志着 HTTPS 已经足够成熟、普及，具备进一步强化 HTTP 安全策略的基础。

在用户安全与使用体验之间取得平衡

表面上看，95% 的 HTTPS 覆盖率似乎意味着问题几乎解决了，但事实上，剩下的 5% 仍然代表着巨量的 HTTP 请求。

由于 HTTP 访问仍然频繁发生，如果对所有 HTTP 访问都直接弹出警告，将极大干扰用户体验。

然而，如果完全不采取措施，则这些风险将长期存在。

因此，Chrome 团队在安全与体验之间进行了权衡，希望在帮助网络环境向更安全的默认设置过渡的同时，尽量减少对用户的打扰。

Chrome 的一种平衡策略是：对同一网站不会重复发出过多警告。

在所有“始终使用安全连接”模式下，只要用户经常访问某个不安全网站，Chrome 就不会反复警告。

这意味着，Chrome 不会对每 50 次访问就提醒一次，而只会在访问新的或久未访问的非 HTTPS 网站时发出警告。

HTTP 流量的来源与风险差异

要进一步理解这一决策，还需了解当前仍在使用 HTTP 的流量类型。

目前导致 HTTP 占比差异的最大来源是访问私有网站（Private Sites）的请求。

报告统计中包含两类站点访问：

公共网站（如 example.com）
私有网站（如 192.168.0.1、单标签主机名或 intranet/ 等局域网短链）

虽然公共网站可以轻松申请受 Chrome 信任的 HTTPS 证书，但私有站点的证书申请仍较复杂。

原因在于私有域名“非唯一”——同一个地址（如 192.168.0.1）在不同网络中可能对应不同设备，证书颁发机构（CA）无法验证其唯一归属。

私有网站的 HTTP 访问仍存在风险，但通常较公共网站低，因为攻击者必须与受害者处于同一局域网（如家庭 Wi-Fi 或企业内网）才能利用此漏洞。

当排除对私有网站的访问后，各平台的 HTTPS 覆盖率会显著提升：

Linux 从 84% 提升至近 97%
Windows 从 95% 提升至 98%
Android 与 macOS 均提升至 99% 以上

鉴于私有网站的风险相对较低，Google 在去年推出了“仅对公共网站启用”的“始终使用安全连接”变体。

对经常访问私有网站的用户（如企业管理员或开发者），该模式可显著减少警告频率；而对普通用户，则仅略微降低保护范围。

这正是我们计划于明年为所有用户启用的版本。

“始终使用安全连接”设置路径→

chrome://settings/security

在 Chrome 141 版本中，我们已对一小部分用户默认启用了“仅针对公共网站”的该功能，以验证它是否能在提高安全性的同时避免过多干扰。

实验数据表明：

用户看到的警告比例低于 3%；
中位用户每周不到一次看到警告；
前 5% 的高频用户每周不到三次。

了解 HTTP 使用场景

一旦“始终使用安全连接”成为默认设置，并随着更多网站迁移到 HTTPS，警告数量预计将进一步下降。

在此过程中，Chrome 团队已与多家仍大量使用 HTTP 的企业沟通，预计它们将在 Chrome 154 发布前完成迁移。

对于这些组织而言，从 HTTP 迁移至 HTTPS 并非困难问题，而是此前缺乏关注。例如，某些网站仍在使用 HTTP 实现跳转至 HTTPS 的功能，这种隐形的不安全交互长期未被用户察觉。

另一个常见的 HTTP 用例是：访问本地网络设备时避免“混合内容拦截”。

由于私有地址难以申请受信任证书，大多数本地设备通信依旧基于 HTTP，而 HTTPS 页面发起的 HTTP 请求会被浏览器阻止。

例如，家庭路由器或智能设备的配置界面通常托管在 config.example.com 之类的域名上，通过 HTTP 与局域网设备通信。

为解决这一问题，Google 近期引入了“本地网络访问权限”机制。

该机制在防止站点未经许可访问用户局域网的同时，也允许经用户授权的 HTTPS 站点绕过混合内容限制，从而顺利迁移至 HTTPS。

Chrome 的即将变更

Google 将于 2026 年 10 月（Chrome 154 版本）默认启用“仅针对公共网站”的“始终使用安全连接”功能。

在此之前，2026 年 4 月发布的 Chrome 147 版本中，该功能将首先面向已启用“增强安全浏览（Enhanced Safe Browsing）”的超过 10 亿用户开放。

Google 表示：“我们预计这项变更对大多数用户来说几乎无感，但仍可通过关闭‘始终使用安全连接’选项来禁用相关警告。”

如果您是网站开发者或 IT 管理员，且用户可能受此功能影响，我们强烈建议您立即启用该功能，以提前识别并迁移仍使用 HTTP 的站点。

同时，Google 也提供了针对企业和教育机构的额外资源，帮助管理员理解何时会触发警告、如何缓解影响，以及如何在受控环境中定制 Chrome 的安全策略。

展望未来

启用针对公共网站的 HTTP 警告，是提升网络整体安全的重要一步。

但这并非终点。

未来，Chrome 安全团队将继续努力，进一步降低 HTTPS 部署的门槛，尤其针对局域网及本地设备网站，推动实现更全面的加密保护。

本文作者：Chris Thompson、Mustafa Emre Acer、Serena Chen、Joe DeBlasio、Emily Stark、David Adrian

单位：Chrome 安全团队（Chrome Security Team）

爱名网为用户提供全球知名品牌SSL证书，为您搭建起HTTPS的安全桥梁，支持个人和企业，单个域名，以及多域名和通配符的SSL证书签发，详见官网：https://ssl.22.cn/

分享到 :

我要投稿

版权声明：本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：400-660-2522;邮箱：service@22.cn。凡本网注明“来源：爱名网”的作品，系由本网自行采编，版权属爱名网。未经本网授权，不得转载、摘编或利用其它方式使用。已经获得本网授权使用作品的，应在授权范围内使用，并注明“来源：爱名网”。违反上述声明者，本网将追究其相关法律责任

上一篇 : 即将删除域名推荐：十九shijiu.com、理财升值Lcsz.com 、9e.com.cn等,今起可预订

下一篇 : 没有了