目前大部分网站已转向采用安全链接——也就是说,当你访问PCWorld这类网站时,页面会通过HTTPS(超文本传输安全协议)连接提供服务,而非不安全的HTTP协议。但仍有部分网站运营商尚未完成这一转变。
从安全角度来看,HTTP协议会将用户暴露在安全威胁之下。尝试加载HTTP连接会为恶意攻击者打开植入漏洞利用程序、恶意软件或社会工程学攻击的窗口。
Chrome开发团队深知这一问题,因此浏览器将在一年后调整其策略。自2026年10月Chrome 154版本发布起,Chrome将默认禁止所有HTTP连接。
或许您会提出疑问:我早已看到Chrome对未采用HTTPS的网站标记隐私错误。没错,这个警告机制已存在多年,但此前仅阻止连接而不会完全屏蔽。目前Chrome仅对纯HTTP网站显示警告,对于先尝试访问HTTP站点再自动重定向至HTTPS版本的情况,尚未进行标记或拦截。
正如谷歌关于此次更新的博客文章所指出的,即便是这类重定向操作也会为攻击者提供可乘之机。更严重的是,由于当前Chrome不会弹出“不安全”警告,用户甚至无从知晓自己正处于安全风险之中。
为何现在将HTTPS设为默认?这项变革历经长期规划,转折点在于HTTPS在全球网络的普及率。根据谷歌的统计数据显示,当前支持HTTPS连接的网站比例已从2015年的30%-45%攀升至95%-99%。
若您担忧会遭遇持续警告(类似无处不在的Cookie设置通知),谷歌已迅速承诺将在安全性与可用性之间取得平衡。新默认设置将主要影响已普遍采用HTTPS的公共网站,而路由器IP地址(如192.168.1.1)这类私有站点将成为重点调整对象,不过Chrome仅会对新增或访问频次较低的站点弹出警告。
关于为何设定较长过渡期,是为了给予网站充分时间完成向HTTPS的转换。Chrome也将分阶段推行此默认设置。已启用增强型安全浏览功能的用户将从2026年4月发布的Chrome 147开始,默认开启“始终使用安全连接”功能。
好消息是,根据谷歌内部测试,用户极少会遇到侵入式弹窗警告。因此其实无需等待强制转换,您现在即可手动开启此功能。
只需在Chrome地址栏输入chrome://settings/security,向下滚动并开启“始终使用安全连接”开关。在极少数遇到HTTP连接的情况下,系统会先显示HTTPS缺失警告页。若执意继续访问,页面加载后仍会显示熟悉的隐私错误提示,且需经过多次点击确认才能最终访问目标网站。
