为了确保修户上网安全,Google预告,明年10月推出的Chrome 154版起,将默认激活“永远使用安全连接”(Always Use Secure Connections),优先访问HTTPS网站,碰到不熟悉的HTTP网站则发出核准要求。
Google指出,当用户浏览器连接未使用HTTPS,攻击者可能拦截连接,迫使用户加载任意或攻击者控制的资源,导致用户暴露于恶意软件、目标滥用或社交工程攻击。而且有时恶意HTTP网站很快就引导到HTTPS网站,用户根本没有机会看到Chrome浏览器标示“不安全连接”的警示。
为解决这个问题,Google 2022年推出“永远使用安全连接”的设置,不过那时是作为随选选择。在Chrome 141时Google曾实验对小部分用户激活公开网站默认使用“永远使用安全连接”。现在,Google认为全面部署时候到了。
“永远使用安全连接”设置激活后,在用户上网时,Chrome尝试以HTTPS连接访问网站,当欲访问的网站只支持HTTP连接时,Chrome即会显示警示,并要求用户明显同意。不过,虽然用户也可以忽略,却不免造成警示泛滥的困扰。
为兼顾安全与便利,Google设计“永远使用安全连接”下,Chrome不会每次上HTTP网站前都发送询问。例如用户访问本地服务或企业内部网站时就不会显示。此外,Chrome只会在初次访问HTTP网站才会询问用户,用户同意过后Chrome就不会再打扰。
2026年10月的Chrome 154起,Google将默认激活访问公开网站时的“永远使用安全连接”。而在2026年4月的Chrome 147,这项政策会先部署到激活Chrome“高端安全上网”(Enhanced Safe Browsing )的用户,总共预计超过10亿人。
不过即使到Chrome 154版,用户还是必要时可以关闭“永远使用安全连接”设置,完全关掉警示。
反过来说,针对网站开发人员或IT人士,Google强烈建议他们激活这项设置,以辨别哪些网站需强化安全性,并且强化用户保护。
