Chrome 将为所有用户默认启用 HTTPS-first

谷歌多年来一直在积极推动 HTTPS 的全面普及，近日又宣布了一项针对 Chrome 的改进——默认启用 HTTPS-first。

谷歌称目前 5-10% 的网络流量仍为 HTTP，这带来了网络攻击的安全风险。虽然 Chrome 在用户访问非 HTTPS 页面时会显示警告。但谷歌表示，有些人仍会忽略通知，从而受到安全威胁。

谷歌认为，解决 HTTP 问题的正确方法是启用 HTTPS-First 模式。启用后，该功能会告诉浏览器自动将所有 http:// 升级为 https://。即使用户单击的链接是 HTTP URL，该模式也会生效。

根据介绍，启用 HTTPS-first 后，浏览器会自动将网页上的所有 HTTP 链接升级为 HTTPS，而不会损害用户的隐私和安全。当网站无法访问并导致 HTTP 404 错误或无效证书时，即如果该网站根本不支持 HTTPS，Chrome 会将其视为升级失败，并快速回退到 HTTP 以继续访问网站。

这种机制可确保用户仅在 HTTPS 版本不可用时访问 HTTP 域，并免受其他可能过时或不安全的 HTTP 链接的影响。

此外，HTTPS-first 与 HTTPS-Only 略有不同。对于后者，当浏览器尝试访问启用 HTTPS 的网站时，它仍然可能向服务器发送 HTTP 请求，这显然是不安全的。在配置其域来处理重定向请求后，具有旧 HTTP 链接并支持 HTTPS 的站点可以选择加入 HTTP 严格传输安全 (HSTS) 预加载列表。

延伸阅读

• Google Chrome 浏览器将默认采用 HTTPS
• 落后近两年，Brave 将默认启用 HTTPS