默认HTTPS时代来了！HTTP网站将被Google Chrome警告

2025年10月29日消息——昨日，Google宣布，自2026年10月发布的Chrome 154版本起，Chrome浏览器将默认在连接到公共、未加密的HTTP网站之前请求用户许可。这意味着，当用户首次访问不支持HTTPS的公共网站时，Chrome将默认弹出提示，要求用户确认是否继续访问。

也就是说“默认HTTPS时代”真的要来了。

事实上，早在2021年，Google就在Chrome中引入了可选的“HTTPS优先模式”（HTTPS-First Mode），并增加了“始终使用安全连接（Always Use Secure Connections）”设置。该模式会在访问网站时优先尝试通过HTTPS（安全超文本传输协议）建立连接，当HTTPS不可用时，则会显示一个可绕过的安全警告。

不过，Google表示，这一选项将从2026年起默认启用，以确保用户仅通过HTTPS访问网站，从而防止中间人攻击（MITM），避免攻击者窃听或篡改通过未加密HTTP协议传输的数据。

　　“自现在起一年后，也就是2026年10月发布的Chrome 154版本，我们将修改Chrome的默认设置，启用‘始终使用安全连接’选项。这意味着Chrome在首次访问任何不支持HTTPS的公共网站前，都会先征求用户的许可。”——Chrome安全团队表示

团队进一步解释道：“当链接未使用HTTPS时，攻击者可能会劫持页面导航，强制Chrome用户加载任意的、由攻击者控制的资源，从而让用户暴露在恶意软件、定向攻击或社会工程攻击的风险之下。”

　HTTP连接警告机制

Google还补充称，在所有“始终使用安全连接”设置的变体中（无论针对公共网站还是私有网站），Chrome不会频繁提醒用户访问同一个不安全网站。只要用户定期访问某个HTTP网站，Chrome就不会重复发出警告。

这意味着，与以往每50次导航可能出现一次警告的情况不同，未来Chrome仅会在访问新的或极少访问的非HTTPS网站时提示用户。

此外，用户还可以自行选择，仅对公共网站启用“不安全连接警告”，或同时对公共与私有网站（包括企业内网）启用。

值得注意的是，虽然私有网站同样存在一定风险，但相比公共网站，它们通常被认为威胁较低，因为攻击者的利用空间更有限。HTTP在这类场景下通常只会被局域网或企业内部的攻击者滥用，例如家庭Wi-Fi或公司网络环境中。

即便同时启用了两类警告，用户也不会被通知淹没——目前全球已有约95%至99%的网站采用了HTTPS，相比2015年约30%至45%的采用率，这一比例已大幅提升。

　安全连接设置的推进计划

在全面默认启用该功能之前，Google将首先于2026年4月（Chrome 147版本），为启用了增强型安全浏览（Enhanced Safe Browsing）的逾10亿用户启用针对公共网站的“始终使用安全连接”功能。

　　“我们预计此次过渡对大多数用户而言将较为平稳。但用户仍可通过关闭‘始终使用安全连接’选项来停用该警告。”——Google补充道。

“如果您是网站开发者或IT专业人员，并且您的用户可能受此功能影响，我们强烈建议您立即启用‘始终使用安全连接’设置，以便提前识别需要迁移的站点。”

　相关更新背景

早在2023年10月，Google Chrome就引入了“HTTPS升级（HTTPS-Upgrades）”功能，为所有用户自动将网页中的HTTP链接升级为HTTPS连接，并在必要时快速回退至HTTP。

此外，本月初期，Google还更新了Chrome浏览器，使其能够自动撤销近期未访问网站的通知权限，以减轻用户的提醒负担。

以下为博客原文：

《默认启用HTTPS》——

自2026年10月发布的Chrome 154版本起，Google将调整Chrome浏览器的默认设置，启用“始终使用安全连接（Always Use Secure Connections）”功能。这意味着，当用户首次访问不支持HTTPS的公共网站时，Chrome将默认弹出提示，要求用户确认是否继续访问。

Chrome安全团队的使命是“让点击每一个链接都安全”。

安全的关键之一，是确保用户在输入网址或点击链接后，浏览器能准确地访问到用户期望的目标站点。

当链接未使用HTTPS时，攻击者可能劫持访问过程，强制Chrome用户加载由攻击者控制的内容，从而让用户暴露于恶意软件、定向攻击或社会工程攻击之中。

这类攻击并非假设场景——现成的导航劫持工具在公开渠道中随处可得，攻击者此前也确实通过不安全的HTTP连接实施过针对性入侵。

攻击者只需利用一次不安全的访问即可取得突破口，因此即便大部分网站已采用HTTPS，单个HTTP请求仍可能带来严重风险。更糟糕的是，如今许多明文HTTP请求对用户几乎是“隐形”的——某些HTTP网站会立即跳转至HTTPS站点，使用户无法在事后看到Chrome的“不安全”警告，也就失去了防范风险的机会。

为应对这一隐患，Google于2022年推出了“始终使用安全连接”可选功能。在该模式下，Chrome会优先尝试使用HTTPS建立连接；若HTTPS不可用，则显示可绕过的安全警告。

Google早前也曾公开表示，将逐步推动“默认使用HTTPS”的目标。现在，我们认为时机已经成熟，应当为所有用户默认启用该功能。

现在，是时候了。

十多年来，Google一直在发布HTTPS透明度报告（HTTPS Transparency Report），追踪Chrome浏览器中使用HTTPS的访问比例。

在该报告的最初几年中，HTTPS的占比从2015年的约30%–45%快速提升至2020年的95%–99%，此后增速趋于平稳。

这一增长代表着网络安全的重大提升，也标志着HTTPS已经足够成熟、普及，具备进一步强化HTTP安全策略的基础。

在用户安全与使用体验之间取得平衡

表面上看，95%的HTTPS覆盖率似乎意味着问题几乎解决了，但事实上，剩下的5%仍然代表着巨量的HTTP请求。

由于HTTP访问仍然频繁发生，如果对所有HTTP访问都直接弹出警告，将极大干扰用户体验。

然而，如果完全不采取措施，则这些风险将长期存在。

因此，Chrome团队在安全与体验之间进行了权衡，希望在帮助网络环境向更安全的默认设置过渡的同时，尽量减少对用户的打扰。

Chrome的一种平衡策略是：对同一网站不会重复发出过多警告。

在所有“始终使用安全连接”模式下，只要用户经常访问某个不安全网站，Chrome就不会反复警告。

这意味着，Chrome不会对每50次访问就提醒一次，而只会在访问新的或久未访问的非HTTPS网站时发出警告。

HTTP流量的来源与风险差异

要进一步理解这一决策，还需了解当前仍在使用HTTP的流量类型。

目前导致HTTP占比差异的最大来源是访问私有网站（Private Sites）的请求。

报告统计中包含两类站点访问：

• 公共网站（如example.com）
• 私有网站（如192.168.0.1、单标签主机名或intranet/等局域网短链）

虽然公共网站可以轻松申请受Chrome信任的HTTPS证书，但私有站点的证书申请仍较复杂。

原因在于私有域名“非唯一”——同一个地址（如192.168.0.1）在不同网络中可能对应不同设备，证书颁发机构（CA）无法验证其唯一归属。

私有网站的HTTP访问仍存在风险，但通常较公共网站低，因为攻击者必须与受害者处于同一局域网（如家庭Wi-Fi或企业内网）才能利用此漏洞。

当排除对私有网站的访问后，各平台的HTTPS覆盖率会显著提升：

• Linux从84%提升至近97%
• Windows从95%提升至98%
• Android与macOS均提升至99%以上

鉴于私有网站的风险相对较低，Google在去年推出了“仅对公共网站启用”的“始终使用安全连接”变体。

对经常访问私有网站的用户（如企业管理员或开发者），该模式可显著减少警告频率；而对普通用户，则仅略微降低保护范围。

这正是我们计划于明年为所有用户启用的版本。

“始终使用安全连接”设置路径→

chrome://settings/security

在Chrome 141版本中，我们已对一小部分用户默认启用了“仅针对公共网站”的该功能，以验证它是否能在提高安全性的同时避免过多干扰。

实验数据表明：

• 用户看到的警告比例低于3%；
• 中位用户每周不到一次看到警告；
• 前5%的高频用户每周不到三次。

了解HTTP使用场景

一旦“始终使用安全连接”成为默认设置，并随着更多网站迁移到HTTPS，警告数量预计将进一步下降。

在此过程中，Chrome团队已与多家仍大量使用HTTP的企业沟通，预计它们将在Chrome 154发布前完成迁移。

对于这些组织而言，从HTTP迁移至HTTPS并非困难问题，而是此前缺乏关注。例如，某些网站仍在使用HTTP实现跳转至HTTPS的功能，这种隐形的不安全交互长期未被用户察觉。

另一个常见的HTTP用例是：访问本地网络设备时避免“混合内容拦截”。

由于私有地址难以申请受信任证书，大多数本地设备通信依旧基于HTTP，而HTTPS页面发起的HTTP请求会被浏览器阻止。

例如，家庭路由器或智能设备的配置界面通常托管在config.example.com之类的域名上，通过HTTP与局域网设备通信。

为解决这一问题，Google近期引入了“本地网络访问权限”机制。

该机制在防止站点未经许可访问用户局域网的同时，也允许经用户授权的HTTPS站点绕过混合内容限制，从而顺利迁移至HTTPS。

Chrome的即将变更

Google将于2026年10月（Chrome 154版本）默认启用“仅针对公共网站”的“始终使用安全连接”功能。

在此之前，2026年4月发布的Chrome 147版本中，该功能将首先面向已启用“增强安全浏览（Enhanced Safe Browsing）”的超过10亿用户开放。

Google表示：“我们预计这项变更对大多数用户来说几乎无感，但仍可通过关闭‘始终使用安全连接’选项来禁用相关警告。”

如果您是网站开发者或IT管理员，且用户可能受此功能影响，我们强烈建议您立即启用该功能，以提前识别并迁移仍使用HTTP的站点。

同时，Google也提供了针对企业和教育机构的额外资源，帮助管理员理解何时会触发警告、如何缓解影响，以及如何在受控环境中定制Chrome的安全策略。

展望未来

启用针对公共网站的HTTP警告，是提升网络整体安全的重要一步。

但这并非终点。

未来，Chrome安全团队将继续努力，进一步降低HTTPS部署的门槛，尤其针对局域网及本地设备网站，推动实现更全面的加密保护。

本文作者：Chris Thompson、Mustafa Emre Acer、Serena Chen、Joe DeBlasio、Emily Stark、David Adrian

单位：Chrome安全团队（Chrome Security Team）

编辑｜公钥密码开放社区

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。