HTTPS by default

从现在起一年后，随着2026年10月Chrome 154的发布，我们将更改Chrome的默认设置，启用“始终使用安全连接”。这意味着Chrome将在首次访问任何未启用HTTPS的公共网站之前，询问用户的许可。

“始终使用安全连接”设置会在用户访问没有HTTPS的网站前发出警告。

Chrome安全团队的使命是让点击链接变得安全。安全的一部分意味着确保当用户输入URL或点击链接时，浏览器能到达用户预期的目的地。当链接不使用HTTPS时，攻击者可以劫持导航，强制Chrome用户加载任意的、攻击者控制的资源，并让用户面临恶意软件、针对性利用或社会工程学攻击的风险。此类攻击并非假设——劫持导航的软件很容易获得，攻击者过去就曾利用不安全的HTTP在针对性攻击中危害用户设备。

由于攻击者只需要一次不安全的导航，他们无需担心许多网站已经采用了HTTPS——任何一次HTTP导航都可能成为立足点。更糟糕的是，如今许多明文HTTP连接对用户完全不可见，因为HTTP站点可能会立即重定向到HTTPS站点。这使得用户在风险发生后没有机会看到Chrome地址栏的“不安全”警告，也首先没有机会保护自己。

为了解决这一风险，我们在2022年推出了“始终使用安全连接”设置，作为一个可选择加入的选项。在此模式下，Chrome会尝试通过HTTPS建立每个连接，如果HTTPS不可用，则向用户显示一个可绕过的警告。我们之前也讨论过我们向默认HTTPS迈进的意图。我们现在认为，是时候为所有用户默认启用“始终使用安全连接”了。

现在正是时候。

十多年来，谷歌一直发布HTTPS透明度报告，跟踪Chrome中使用HTTPS的导航百分比。在该报告的最初几年，数字出现了惊人的攀升，从2015年的约30-45%开始，到2020年左右达到约95-99%的范围。此后，进展基本趋于平稳。

HTTPS采用率（以主框架页面加载的百分比表示）

这一增长代表了网络安全的巨大改进，并表明HTTPS现在已经成熟且普及。正是这种采用水平使得我们能够考虑针对剩余的不安全HTTP采取更强的缓解措施。

在用户安全与摩擦之间取得平衡

虽然乍一看95%的HTTPS采用率意味着问题基本解决，但事实是几个百分点的HTTP导航仍然是大量的导航。由于HTTP导航对于大多数Chrome用户来说仍然经常发生，对所有HTTP导航都发出警告的简单方法会造成相当大的干扰。同时，正如平稳状态所示，无所作为将让这种风险无限期地持续下去。为了平衡这些风险，我们已采取措施，确保我们能够帮助网络向更安全的默认设置迈进，同时限制警告可能给用户带来的潜在烦恼。

我们平衡用户风险的一种方式是确保Chrome不会对同一站点发出过多的警告。在“始终使用安全连接”设置的所有变体中，只要用户定期访问一个不安全的站点，Chrome就不会反复警告用户。这意味着，Chrome不会在每50次导航中警告用户1次，而是只在用户访问未使用HTTPS的新站点（或最近未访问的站点）时才发出警告。

为了进一步解决这个问题，了解哪些类型的流量仍在使用HTTP很重要。迄今为止，不安全HTTP的最大贡献者，以及跨平台差异的最大贡献者，是对私有站点的不安全导航。上图包括了对公共站点（如example.com）的导航，以及对私有站点（如本地IP地址192.168.0.1、单标签主机名和像intranet/这样的短链接）的导航。虽然为公共站点获取Chrome信任的HTTPS证书是免费且容易的，但不幸的是，为私有站点获取HTTPS证书仍然很复杂。这是因为私有名称是“非唯一的”——私有名称可以在不同网络上指向不同的主机。没有一个单一的192.168.0.1所有者可供证书颁发机构验证并签发证书。

对私有站点的HTTP导航仍然可能存在风险，但通常比公共站点对应的风险要小，因为攻击者利用这些HTTP导航的方式较少。私有站点上的HTTP只能由也在您本地网络上的攻击者（例如在您家中的Wi-Fi或企业网络中）滥用。

如果排除对私有站点的导航，那么各平台间的分布就会变得紧凑得多。特别是，当分析仅限于公共站点时，Linux的HTTPS采用率从84%跃升至近97%。Windows从95%增加到98% HTTPS，而Android和Mac都增加到超过99% HTTPS。

考虑到对私有站点的HTTP所代表的较低风险，去年我们为仅限公共站点推出了“始终使用安全连接”的一个变体。对于频繁访问私有站点的用户（例如企业环境中的用户或Web开发人员），排除对私有站点的警告可以显著减少这些用户将看到的警告数量。同时，对于不经常访问私有站点的用户，此模式仅带来很小的保护减少。这是我们打算明年为所有用户启用的变体。

“始终使用安全连接”，位于 chrome://settings/security

在Chrome 141中，我们尝试为一小部分用户默认启用仅限公共站点的“始终使用安全连接”。我们希望验证我们的预期，即此设置能在不过度用警告打扰用户的情况下保障用户更安全。

分析实验数据后，我们确认任何用户看到的警告数量远低于导航次数的3%——事实上，中位数用户每周看到的警告少于一次，第95百分位的用户每周看到的警告少于三次。

了解HTTP使用情况

一旦“始终使用安全连接”成为默认设置，并且更多网站从HTTP迁移出去，我们预计实际的警告量将比现在更低。在我们的实验进行的同时，我们已经联系了负责大部分HTTP导航的一些公司，并期望他们能够在Chrome 154更改之前从HTTP迁移出去。对于其中许多组织来说，过渡到HTTPS并非异常困难，只是没有得到关注。例如，其中许多站点仅在立即重定向到HTTPS站点的导航中使用HTTP——这种以前对用户完全不可见的不安全交互。

HTTP的另一个当前用例是在访问本地网络设备时避免混合内容阻止。如上所述，私有地址通常没有受信任的HTTPS证书，因为验证非唯一名称的所有权很困难。这意味着大多数本地网络流量是通过HTTP进行的，并且无法从HTTPS页面发起——HTTP流量被视为不安全的混合内容并被阻止。需要访问本地网络的一个常见用例是配置本地网络设备，例如，制造商可能在 config.example.com 上托管一个配置门户，然后向本地设备发送请求以配置它。

以前，这类页面需要在不使用HTTPS的情况下托管，以避免混合内容阻止。然而，我们最近引入了本地网络访问权限，该权限既可以防止网站在未经同意的情况下访问用户的本地网络，同时也允许HTTPS网站在获得该权限后，为本地网络绕过混合内容检查。这可以解除这些域名迁移到HTTPS的障碍。

Chrome中的变更

我们将在2026年10月，随着Chrome 154的发布，默认启用“始终使用安全连接”设置的仅限公共站点变体。在为所有用户默认启用之前，在2026年4月发布的Chrome 147中，我们将为超过10亿选择加入Chrome增强型安全浏览保护的用户启用仅限公共站点变体的“始终使用安全连接”。

虽然我们希望并期望这一过渡对大多数用户来说相对顺利，但用户仍将能够通过禁用“始终使用安全连接”设置来关闭警告。

如果您是网站开发人员或IT专业人员，并且您的用户可能会受到此功能的影响，我们强烈建议您今天就启用“始终使用安全连接”设置，以帮助识别您可能需要努力迁移的站点。IT专业人员可能会发现阅读我们的额外资源很有用，以便更好地理解将显示警告的情况、如何缓解这些警告，以及管理Chrome客户端的组织（如企业或教育机构）如何确保Chrome显示正确的警告以满足这些组织的需求。

展望未来

虽然我们认为对不安全的公共站点发出警告是网络安全向前迈出的重要一步，但仍有更多工作要做。未来，我们希望努力进一步降低采用HTTPS的障碍，特别是对于本地网络站点。这项工作有望在未来实现更强大的HTTP保护。

发布者：Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark 和 David Adrian, Chrome 安全团队