谷歌Chrome浏览器将在2026年进行一项重大的安全变革。从2026年10月发布的Chrome 154版本开始,该浏览器将自动为所有用户启用“始终使用安全连接”设置。启用后,Chrome将首先尝试通过 HTTPS 加载所有网站,并在用户访问不支持HTTPS的公共网站之前发出警告。该功能自 2022 年起就已推出,但当时仅作为可选开关。明年,它将成为全球使用最广泛的浏览器的默认设置,从而巩固网络向 HTTPS 优先时代的转变。
谷歌表示,这项改变早就应该实施了。如果没有 HTTPS,攻击者可以拦截流量、劫持导航或将用户重定向到恶意页面。更糟糕的是,许多 HTTP 页面会立即重定向到 HTTPS,根本来不及显示“不安全”警告。此外,Chrome 的透明度数据显示,HTTPS 的采用率从 2015 年的约 30-45% 上升到 2020 年的约 95-99%,之后增速放缓,但即使剩余的几个百分点,在 Chrome 这样的规模下也意味着数百万次的不安全访问。由于攻击者只需要一个不安全的连接就能蒙混过关,谷歌认为它不能忽视剩余的不安全连接。
这项变更上线后,Chrome 浏览器会首先尝试使用 HTTPS 进行所有导航,并且仅在公共网站无法升级时才会发出警告。这样可以避免反复提醒用户访问同一个 HTTP 页面。相反,Chrome 只会在用户访问新的或不常用的不安全网站时才会触发警告。如果用户不希望收到这些警告,仍然可以关闭此设置。目前,谷歌计划分阶段推出这项变更,首先于 2026 年 4 月面向已注册“增强安全浏览”的用户推出 Chrome 147 版本,随后在同年晚些时候的 Chrome 154 版本中推广到所有其他用户。
值得注意的是,私有网站(例如路由器页面或企业内网)的处理方式有所不同,因为攻击者通常需要在同一网络上才能利用这些网站,所以 Chrome 默认情况下不会发出警告。谷歌表示,他们正在努力简化私有主机采用 HTTPS 的流程,例如新增的“本地网络访问权限”等功能,允许受信任的 HTTPS 页面与本地设备通信,而不会触发混合内容拦截。加入讨论
Chrome并非首款采用这种做法的浏览器。像Tor、LibreWolf和Mullvad这样注重隐私的浏览器,早已默认启用安全模式。Brave浏览器也提供HTTPS升级选项,甚至允许用户在设置过程中选择安全级别的严格程度。不过,主要区别在于覆盖范围:这些浏览器的规模都远不及Chrome。Chrome一旦做出改变,整个网络往往都会效仿。虽然谷歌尚未明确表示这一变化是否会应用到Chromium内核,但许多基于Chromium的浏览器很可能会沿用这一默认设置。如果真是如此,全球浏览器生态系统的大部分区域都将变得更加安全,而无需单个浏览器厂商做出太多改变。
因此,其影响不仅体现在技术层面,更体现在文化层面。Chrome 为所有用户启用 HTTPS 优先模式,将安全浏览从高级用户隐藏在设置中的选项转变为基本要求。虽然大部分网络内容已经使用 HTTPS,但最后几次不安全的点击仍然存在风险,尤其是在不稳定的 Wi-Fi 网络下。因此,Chrome 的方案务实:引导用户远离不安全的网站,而不是频繁地打扰他们,并允许高级用户根据自身需求关闭该功能。互联网不会在 2026 年突然崩溃。然而,用户的浏览器将更难被随意更改,而对于一个隐藏的设置来说,这无疑是一项不错的升级。