默认启用HTTPS

从现在起一年后，随着2026年10月Chrome 154的发布，我们将更改Chrome的默认设置，启用"始终使用安全连接"。这意味着在首次访问任何未使用HTTPS的公共网站之前，Chrome将请求用户许可。

“始终使用安全连接"设置在访问没有HTTPS的网站之前会警告用户

Chrome安全部门的使命是让点击链接变得安全。安全的一部分意味着确保当用户输入URL或点击链接时，浏览器最终到达用户想要访问的地方。当链接不使用HTTPS时，攻击者可以劫持导航，强制Chrome用户加载任意的、由攻击者控制的资源，并将用户暴露于恶意软件、定向攻击或社会工程攻击中。像这样的攻击并非假设 - 用于劫持导航的软件很容易获得，攻击者之前已经使用不安全的HTTP在定向攻击中危害用户设备。

由于攻击者只需要一次不安全的导航，他们不需要担心许多网站已经采用了HTTPS - 任何单个HTTP导航都可能提供一个立足点。更糟糕的是，如今许多明文HTTP连接对用户完全不可见，因为HTTP网站可能立即重定向到HTTPS网站。这让用户在风险发生后没有机会看到Chrome的"不安全"URL栏警告，也没有机会首先保护自己的安全。

为了解决这个风险，我们在2022年推出了"始终使用安全连接"设置作为可选选项。在此模式下，Chrome尝试通过HTTPS建立每个连接，并在HTTPS不可用时向用户显示可绕过的警告。我们之前也讨论过我们打算向默认启用HTTPS的方向发展。我们现在认为时机已经成熟，默认为所有用户启用"始终使用安全连接”。

时机已到。

十多年来，Google一直发布HTTPS透明度报告，该报告跟踪Chrome中使用HTTPS的导航百分比。在报告的最初几年，数字出现了令人印象深刻的攀升，从2015年的约30-45%开始，到2020年左右达到约95-99%的范围。自那时起，进展基本上停滞不前。

HTTPS采用率表示为页面主框架加载的百分比

这一增长代表了Web安全的巨大改进，并证明HTTPS现在已经成熟和普及。这种采用水平使得考虑对剩余的不安全HTTP采取更强有力的缓解措施成为可能。

平衡用户安全与使用摩擦

虽然95%的HTTPS采用率乍看之下意味着问题大部分已解决，但事实是几个百分点的HTTP导航仍然是大量的导航。由于HTTP导航对大多数Chrome用户来说仍然是常规现象，对所有HTTP导航发出警告的天真方法会造成相当大的干扰。同时，正如停滞期所显示的，什么都不做将使这种风险无限期地持续存在。为了平衡这些风险，我们已采取措施确保我们能够帮助网络向更安全的默认设置发展，同时限制警告可能给用户带来的潜在烦恼。

我们平衡用户风险的一种方式是确保Chrome不会对同一网站过度警告。在"始终使用安全连接"设置的所有变体中，只要用户定期访问不安全的网站，Chrome就不会重复警告用户该网站。这意味着Chrome不会在每50次导航中警告用户1次，而只会在用户访问未使用HTTPS的新网站（或最近未访问的网站）时发出警告。

为了进一步解决这个问题，了解什么样的流量仍在使用HTTP很重要。迄今为止，不安全HTTP的最大贡献者，以及跨平台差异的最大贡献者，是对私有网站的不安全导航。上图包括对公共网站（如example.com）的导航，以及对私有网站（如本地IP地址192.168.0.1、单标签主机名和像intranet/这样的短链接）的导航。虽然为公共网站获取Chrome信任的HTTPS证书是免费且容易的，但为私有网站获取HTTPS证书仍然很复杂。这是因为私有名称是"非唯一的" - 私有名称可以在不同网络上引用不同的主机。没有192.168.0.1的单一所有者供证书颁发机构验证并颁发证书。

对私有网站的HTTP导航仍然可能有风险，但通常比公共网站的风险小，因为攻击者利用这些HTTP导航的方式较少。私有网站上的HTTP只能由也在您本地网络上的攻击者（如家庭WiFi或公司网络）滥用。

如果排除对私有网站的导航，那么跨平台的分布会变得更加紧密。特别是，当将分析仅限于公共网站时，Linux从84%的HTTPS使用率跃升至近97%。Windows从95%增加到98%的HTTPS使用率，Android和Mac都增加到99%以上的HTTPS使用率。

认识到对私有网站的HTTP所代表的降低风险，去年我们推出了仅针对公共网站的"始终使用安全连接"变体。对于经常访问私有网站的用户（如企业环境中的用户或Web开发人员），排除对私有网站的警告显著减少了这些用户将看到的警告数量。同时，对于不经常访问私有网站的用户，此模式仅带来保护的小幅降低。这是我们打算明年为所有用户启用的变体。

“始终使用安全连接”，可在chrome://settings/security找到

在Chrome 141中，我们尝试为小部分用户默认启用针对公共网站的"始终使用安全连接"。我们希望验证我们的期望，即此设置能在不给用户带来过多警告负担的情况下保护用户安全。

分析实验数据，我们确认任何用户看到的警告数量远低于导航的3% - 实际上，中位数用户每周看到的警告少于一次，第95百分位用户每周看到的警告少于三次。

理解HTTP使用情况

一旦"始终使用安全连接"成为默认设置，并且更多网站从HTTP迁移出去，我们预计实际警告量将比现在更低。在我们的实验同时，我们已经联系了许多负责大多数HTTP导航的公司，并期望他们能够在Chrome 154更改之前从HTTP迁移出去。对于这些组织中的许多来说，过渡到HTTPS并不是特别困难，只是没有得到关注。例如，许多这些网站仅对立即重定向到HTTPS网站的导航使用HTTP - 这种不安全的交互以前对用户完全不可见。

HTTP的另一个当前用例是在访问本地网络设备时避免混合内容阻塞。如上所述，私有地址通常没有受信任的HTTPS证书，因为验证非唯一名称的所有权很困难。这意味着大多数本地网络流量是通过HTTP进行的，并且不能从HTTPS页面发起 - HTTP流量被视为不安全的混合内容并被阻止。需要访问本地网络的一个常见用例是配置本地网络设备，例如，制造商可能在config.example.com托管一个配置门户，然后向本地设备发送请求进行配置。

以前，这些类型的页面需要在不使用HTTPS的情况下托管，以避免混合内容阻塞。然而，我们最近引入了本地网络访问权限，这既可以防止网站在未经同意的情况下访问用户的本地网络，也允许HTTPS网站在获得权限后绕过对本地网络的混合内容检查。这可以为将这些域迁移到HTTPS扫清障碍。

Chrome中的更改

我们将在2026年10月发布的Chrome 154中默认启用"始终使用安全连接"设置的公共网站变体。在为所有用户默认启用之前，在2026年4月发布的Chrome 147中，我们将为超过10亿选择加入Chrome增强安全浏览保护的用户启用公共网站变体的"始终使用安全连接"。

虽然我们希望并期望这种过渡对大多数用户来说相对无痛，但用户仍然可以通过禁用"始终使用安全连接"设置来禁用警告。

如果您是网站开发人员或IT专业人员，并且您有用户可能受此功能影响，我们强烈建议立即启用"始终使用安全连接"设置，以帮助识别您可能需要努力迁移的网站。IT专业人员可能会发现阅读我们的其他资源很有用，以更好地理解显示警告的情况、如何缓解它们，以及管理Chrome客户端的组织（如企业或教育机构）如何确保Chrome显示正确的警告以满足这些组织的需求。

展望未来

虽然我们相信对不安全的公共网站发出警告代表了Web安全的重要一步，但仍有更多工作要做。未来，我们希望努力进一步降低采用HTTPS的障碍，特别是对于本地网络站点。这项工作有望在未来实现更强大的HTTP保护。

发布者：Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark and David Adrian, Chrome安全团队