Chrome 154版本默认启用安全连接，全面警告HTTP网站访问

蜘蛛侠的“能力越大，责任越大”名言在现实世界中同样适用。作为浏览器市场的绝对主导者，谷歌Chrome正不断为用户的上网安全保驾护航。近日，谷歌宣布从2026年10月发布的Chrome 154版本开始，将默认启用“始终使用安全连接”策略，以防止用户在不知情的情况下访问不安全的HTTP网站。

从Chrome 154版本起，一旦用户尝试访问HTTP网站，浏览器将立即弹出警告窗口。除非选择“无视风险，坚持访问”，否则Chrome将阻止页面加载。值得注意的是，如果用户对某个HTTP网站予以放行，下次访问时Chrome会默认允许，只有在清除浏览器数据后才需要重新确认，从而避免不必要的干扰。

弹窗提醒方式虽能有效警示用户，但代价同样不小。对于用户而言，弹窗提醒与弹窗广告并无本质区别，都会中断上网浏览体验。长此以往，为了避免弹窗骚扰，用户可能机械式地点击同意，从而对隐私和安全提示变得麻木。这也正是欧盟近年来虽强调隐私保护，却开始降低“cookie弹窗确认”频率的原因。

既然如此，谷歌为何仍坚持使用弹窗警告呢？原因在于，他们认为HTTP网站已成为网络攻击的重要源头。恶意HTTP网站在加载有害资源后会快速跳转到HTTPS网站，用户甚至来不及看到浏览器地址栏弹出的“不安全”红色感叹号警告，便已陷入安全威胁之中。

作为Web生态的基石，超文本传输协议（HTTP）是一种用于分布式、协作式和超媒体信息系统的应用层协议，它规定了客户端与服务器之间的请求和响应格式。可以说，诞生于上世纪90年代的HTTP，曾是互联网的代名词，为网络数据交互奠定了坚实基础。

HTTP的简单明了在互联网早期是优势，但如今随着互联网经济的发展，数据价值日益凸显，网络安全问题层出不穷。使用明文传输、未加密数据的HTTP协议，成为黑客发动网络攻击的突破口。由于HTTP通信报文为明文，内容易被窃听，加之缺乏对通信方身份和报文完整性的验证，使得黑客能够轻易篡改信息或伪装身份。

例如，早期黑客盗取游戏账号常使用抓包工具（如Wireshark）或嗅探器，窃取玩家与官网之间的通信内容，从而获取账号密码等关键信息。又如，DDoS攻击在PC互联网时代是网站站长的必修课，彼时攻击频发的原因之一便是HTTP协议无法验证通信双方的访问权限，导致服务器对无意义请求照单全收。

因此，在HTTP基础上加入TLS/SSL协议构建的HTTPS应运而生，它主要采用非对称加密算法（如RSA）将明文转换为密文，这样即使黑客使用抓包工具，也只能看到乱码，无法获取具体数据。

事实上，HTTPS协议只能确保用户与服务器之间的通信安全，并防止内容被篡改，例如确保访问的是正确域名。但HTTP不安全并不等同于HTTPS一定安全，如果采用HTTPS的网站本身存在问题呢？毕竟HTTPS仅认证数据传输安全，并不为网站内容背书。

对于互联网技术了解有限的用户，他们可能不清楚HTTPS具体保护什么，只看到浏览器显示象征安全的“锁”图标。按照Chrome新规，使用HTTPS协议的网站不会触发警告，即使该网站用于网络钓鱼或电信诈骗亦然。

由于连接安全不等于网站安全，谷歌为Chrome默认开启“一律使用安全连接”特性存在隐性缺陷。它固然会强化用户对HTTP不安全的认知，但也会让用户产生HTTPS安全的错误印象。

随着互联网普及，网络用户从二十年前的极客变为普罗大众，网民对互联网的认知水平实则不升反降。与此同时，黑客堪称互联网世界最与时俱进的群体。当下黑客很少主动窃听用户与服务器通信，而是自建钓鱼网站，等待用户主动提交敏感信息。

这反映了谷歌等厂商在保障用户信息安全上的挑战。如果无所作为，放任用户访问安全性低的HTTP链接，等于让用户暴露于风险中；但如果强化用户对HTTP不安全的认知，又会加固他们对HTTPS的盲目信任。

因此，Chrome将“一律使用安全连接”从用户选择开启改为默认开启，反而可能适得其反。这类似国内著名的“360悖论”：如果你能自行彻底删除360安全卫士，那么它对你毫无意义；但如果做不到完全删除，那你正是需要它的人。

简而言之，如果用户明白安全连接的含义，TA就不需要此功能保护；反之，如果对此一无所知，使用安全连接也未必能保障TA的上网安全。