从 2026 年 10 月发布的 Chrome 154 起,Google 将默认启用“始终使用安全连接”(Always Use Secure Connections)功能。这意味着,当你尝试访问一个仅支持 HTTP(非加密)的网站时,Chrome 会主动阻止加载,并显示安全警告。
你仍可手动绕过警告,但浏览器会明确提示:“攻击者可能看到或修改此网站的数据”,并建议仅在可信网络(如家庭 Wi-Fi)中继续访问。
为什么这么做?
HTTPS 不仅加密传输内容,还能防止中间人篡改网页。在 HTTPS 普及前,ISP(如 AT&T、Comcast)甚至会在用户浏览的网页中注入广告或跟踪代码。如今,这类行为在 HTTPS 网站上已基本失效。
目前,Chrome 在各平台的 HTTPS 使用率如下:
- Windows / Android / macOS / ChromeOS:95%–99%
- Linux:约 85%(主要因自托管服务较多,如家庭 NAS、路由器后台等常未配置 HTTPS)
但若仅统计公共网站,Linux 的 HTTPS 使用率也接近 97%,说明非加密网站已属极少数。
哪些情况不会触发警告?
Google 为本地和私有网络设置了例外:
- 路由器管理页面(如
192.168.1.1) - NAS 或自建服务的本地地址
- 其他私有 IP 范围内的 HTTP 站点
这些页面默认不会弹出警告,因为攻击者需处于同一局域网才能利用其风险(如家庭或公司网络),威胁范围有限。
不过,你仍可在设置中手动开启对私有网站的警告(路径:chrome://settings/security → “始终使用安全连接” → 启用“对私有网络也应用”)。
用户现在能做什么?
如果你希望提前体验或加强安全性,可手动开启该功能:
- 打开 Chrome 设置
- 进入 隐私和安全 > 安全
- 开启 “始终使用安全连接”
开启后,任何 HTTP 网站首次访问时都会触发警告,帮助你识别潜在风险。
对开发者和自托管用户的影响
如果你运行本地服务(如 Home Assistant、Pi-hole、自建博客等),建议尽快为这些服务配置 HTTPS。可使用免费工具如:
- Let’s Encrypt(配合公网域名)
- mkcert(生成本地可信证书,适用于
localhost或内网 IP)
这不仅能避免 Chrome 警告,也能提升整体安全性。
评论