Chrome 2026年起强制启用 HTTPS：安全团队需了解的关键信息

Chrome 将于2026年10月起默认强制启用 HTTPS

Google宣布，Chrome浏览器将从**Chrome 154版本（2026年10月）**开始，默认启用“始终使用安全连接”功能。此项变更将要求用户在访问任何未使用HTTPS的公共网站前给予许可，标志着浏览器安全策略的重大调整。

关键细节

• 时间表：该设置将首先在**Chrome 147（2026年4月）向启用“增强安全浏览”的用户推出，随后于Chrome 154（2026年10月）**成为所有用户的默认设置。
• 适用范围：该功能仅适用于公共网站，私有/本地网络地址（如192.168.0.1、intranet/）不受影响。
• 用户影响：Chrome将对非HTTPS网站显示可绕过的警告，且频率限于新访问或不常访问的域名，以减少干扰。

技术背景

Google的这一决定源于HTTP协议长期存在的安全风险，包括：

• 中间人攻击（MITM）：攻击者可劫持导航请求，注入恶意软件、利用漏洞或实施钓鱼攻击。Google的威胁分析小组已记录到利用HTTP进行定向攻击的真实案例。
• 隐形重定向：许多HTTP网站会立即重定向至HTTPS，掩盖初始不安全连接，使用户和Chrome的“不安全”警告无法察觉。
• HTTPS采用率停滞：根据Google的透明度报告，当前95–99%的公共网站导航已使用HTTPS，但剩余5%的HTTP流量仍构成重大风险。私有/本地网站的采用率更低，Linux系统上仅为84%。

影响分析

安全收益

• 缩小攻击面：HTTPS默认启用可降低公共网站的中间人攻击风险，此类网站是攻击者的主要目标。
• 推动HTTPS迁移：使用HTTP-to-HTTPS重定向的组织将受到激励，全面采用HTTPS。
• 本地网络改进：Google的本地网络访问权限允许HTTPS网站绕过混合内容阻止，与已批准的本地设备建立安全连接。

潜在挑战

• 企业/本地网络摩擦：私有网站（如路由器、IoT设备）可能因命名不唯一（如192.168.0.1）缺乏HTTPS证书，但其风险低于公共网站。
• 用户疲劳：尽管警告仅限于新访问或不常访问的网站，部分用户仍可能感到干扰。该设置可手动关闭。

建议

1. 针对安全团队

   • 审计HTTP使用：立即在Chrome中启用“始终使用安全连接”（chrome://settings/security），识别需迁移至HTTPS的网站。
   • 优先处理公共网站：重点关注使用HTTP重定向或混合内容的域名，这些最可能触发警告。
   • 利用本地网络权限：使用Chrome的本地网络访问API，确保HTTPS与本地设备的安全交互。

2. 针对开发者/IT管理员

   • 参考Google指南：查阅采用指南，了解企业特定的缓解措施。
   • 提前测试：部署Chrome 147（2026年4月）以验证内部工具和私有网站的兼容性。

3. 针对网站所有者

   • 消除HTTP重定向：确保所有公共域名直接通过HTTPS加载，避免触发警告。
   • 为私有网站获取证书：探索Let’s Encrypt或内部CA等解决方案，为本地网络配置证书。

未来展望

Google计划进一步降低HTTPS采用门槛，特别是针对本地网络网站。未来更新可能扩展至私有域名的保护，但尚未公布具体时间表。

目前，安全团队应将此变更视为消除残留HTTP依赖并强化面向Web的基础设施抵御中间人攻击的契机。

由Chrome安全团队发布（Chris Thompson、Mustafa Emre Acer、Serena Chen、Joe DeBlasio、Emily Stark、David Adrian）