大家好，我是 ConardLi。

就在 8.16 號，Chromium 官方博客宣布了未來將嘗試將所有的網站協議默認導向 HTTPS (就算用戶主動使用 HTTP 訪問也會如此) ，目前已經在 Chrome 115 版本開啟了試驗。

大家應該能感覺的到，在過去的幾年中大部分網站都在將 HTTP 協議轉向 HTTPS ，因為 HTTP 協議在網絡上是明文傳輸的，在網上很容易被劫持或篡改，而 HTTPS 協議可以保障請求數據的加密傳輸。

根據 Chrome 的統計，超過 90% 的用戶已經開始使用 HTTPS 協議瀏覽網站。

各大平臺使用 HTTPS 協議的占比：

使用 HTTPS 協議瀏覽時間占比：

排名前 100 的網站默認啟用 HTTPS 協議，以及支持 HTTPS 協議的網站數量：

這意味著，當前大多數的網站流量都經過了加密和身份驗證，可以免受一些黑客的網絡攻擊。但是，現在仍有 5-10% 的流量頑固地保留在 HTTP 上，從而讓攻擊者能夠竊聽或更改這些請求的數據。

當與網站的連接不安全時，Chrome 會在地址欄中顯示警告，但這是遠遠不夠的，很多人都不會注意到，而且就算注意到可能數據已經被攻擊過了。

一個好的網絡環境應該是默認安全的，HTTPS 優先模式可以讓 Chrome 能夠在不安全地連接到網站之前獲得我們的明確許可，從而兌現這一承諾。

Chrome 的目標是最終默認為每個用戶都啟用這個模式。雖然很多網站可能還沒有準備好默認啟用 HTTPS 優先模式（比如網站如果沒有正確配置 TLS 證書，使用 HTTPS 訪問直接就掛掉了），所以下面 Chrome 將會啟用幾個過渡能力。

HTTPS 自動升級

Chrome 會自動將所有 http:// 協議的訪問默認升級為 https://，即使我們明確使用了 http:// 協議去訪問網站。

這其實和 HSTS（一個 HTTP Header ：Strict-Transport-Security ，會講所有的 HTTP 流量默認轉向 HTTPS） 的原理非常相似，你可以理解成給所有的網站都默認加了 HSTS 。

但它比 HSTS 更友好一點，Chrome 會檢測這些默認的升級是不是會失敗（例如，由于網站提供了無效的證書或返回 HTTP 404），然后自動回退到 http://。這個更改可以確保 Chrome 僅在 HTTPS 確實不可用時才使用不安全的 HTTP，而不是因為我們點擊了過時的不安全鏈接。目前 Chrome 115 版本正在試驗這一更改，并且努力標準化整個網絡的行為，可能很快就會對所有網站默認開啟了。

雖然這個更改也沒有辦法完全防范主動的網絡攻擊，但它是我們邁向 HTTPS-First 模式的踏腳石，并且可以保護更多的流量免受被動的網絡竊聽和篡改。

不安全下載文件警告

目前，Chrome 已經刪除了對混合下載（HTTPS 協議的網站下下載 HTTP 的內容）的支持。

然后， Chrome 將在通過不安全的連接下載任何高風險文件之前開始顯示警告。下載的文件可能包含繞過 Chrome 沙箱和其他保護的惡意代碼，當發生不安全的下載時，網絡攻擊者可能會危害你的計算機。

這個警告其實還是告知大家正在承擔的安全風險。如果你愿意承擔風險，仍然可以下載這個文件。

在啟用 HTTPS-First 模式之前，Chrome 在不安全下載圖像、音頻或視頻等文件時不會顯示警告，因為這些文件類型相對安全，不過預計從 9 月中旬這些文件類型也會開始警告。

逐步推出 HTTPS-First 模式

因為整個網絡最終的目標還是為所有人都啟用 HTTPS-First 模式，但是為了把影響降低到最小，可能先在下面的領域逐步推出：

已注冊 Google 高級保護計劃并登錄 Chrome 的用戶啟用 HTTPS-First 模式；

即將在隱身模式下默認啟用 HTTPS-First 模式；

正在探索為很少使用 HTTP 協議的部分用戶自動啟用 HTTPS-First 模式；

如果你想馬上享受最安全的網絡環境，也可以到 chrome://settings/security 啟用 Always use secure connections 來啟用 HTTPS-First 模式～

最后

祝愿整個網絡環境中再無 HTTP ！ 再無劫持、篡改、竊聽 ～