Chrome浏览器-默认HTTPS

在过去几年里，Chrome 浏览器用户 90% 以上的导航都是通过 HTTPS 访问所有主要平台的网站。

值得庆幸的是，这意味着大部分流量都经过了加密和验证，因此不会受到网络攻击者的攻击。然而

，仍有 5-10% 的流量顽固地停留在 HTTP 上，允许攻击者窃听或更改数据。当连接到不安全的网站时，

Chrome 浏览器会在地址栏中显示警告，但我们认为这还不够：不仅许多人没有注意到该警告，而且当有人注意到该警告时，损害可能已经造成。

我们认为，默认情况下网络应该是安全的。HTTPS 优先模式可以让 Chrome 浏览器在连接到不安全的网站之前获得用户的明确许可，

从而实现这一承诺。我们的目标是最终在默认情况下为所有人启用这一模式。虽然现在网络还没有完全准备好普遍启用 HTTPS 优先模式，但我们宣布了实现这一目标的几个重要步骤。

自动升级

Chrome 浏览器会自动将所有 http:// 导航升级到 https://，即使您点击的是明确声明为 http:// 的链接。其工作原理与 HSTS 升级非常相似，

但 Chrome 浏览器会检测这些升级是否失败（例如由于网站提供无效证书或返回 HTTP 404），并自动退回到 http://。这一更改可确保 C

hrome 浏览器仅在 HTTPS 确实不可用时才使用不安全 HTTP，而不是因为您点击了过期的不安全链接。我们目前正在 Chrome 浏览器第 115 版中试验这一变更，努力在整个网络中实现行为标准化，

并计划很快向所有人推出这一功能。虽然这一更改无法抵御主动网络攻击者，但它是实现人人使用 HTTPS 优先模式的垫脚石，可以保护更多流量免受被动网络窃听者的攻击。

关于不安全下载文件的警告

在我们之前移除对混合下载的支持的基础上，Chrome 浏览器将开始在通过不安全连接下载任何高风险文件之前显示警告。

下载的文件可能包含绕过 Chrome 浏览器沙箱和其他保护措施的恶意代码，因此当发生不安全下载时，网络攻击者就有了入侵电脑的独特机会。

此警告旨在告知用户他们所冒的风险。如果你愿意承担风险，仍然可以下载文件。除非启用了 HTTPS 优先模式，否则在不安全下载图片、音频或视频等文件时，

Chrome 浏览器将不会显示警告，因为这些文件类型相对安全。我们预计从 9 月中旬开始推出这些警告。

为更多人提供 HTTPS 优先模式保护

我们的最终目标是为所有人启用 HTTPS 优先模式。为此，我们正在将 HTTPS 优先模式保护扩展到多个新领域：

我们已为加入谷歌高级保护计划并登录 Chrome 浏览器的用户启用 HTTPS-First 模式。这些用户要求谷歌提供最强大的保护，而 HTTPS-First 模式有助于避免这些用户面临不安全连接的实际威胁。

我们计划很快在隐身模式中默认启用 HTTPS 优先模式，以提供更安全的浏览体验。

我们目前正在尝试在 Chrome 浏览器知道您通常通过 HTTPS 访问的网站上自动启用 HTTPS 优先模式保护。

最后，我们正在探索为很少使用 HTTP 的用户自动启用 HTTPS 优先模式。