大家好，我是 ConardLi。

就在 8.16 號，Chromium 官方博客宣布了未來將嘗試將所有的網(wǎng)站協(xié)議默認(rèn)導(dǎo)向 HTTPS (就算用戶主動使用 HTTP 訪問也會如此) ，目前已經(jīng)在 Chrome 115 版本開啟了試驗。

大家應(yīng)該能感覺的到，在過去的幾年中大部分網(wǎng)站都在將 HTTP 協(xié)議轉(zhuǎn)向 HTTPS ，因為 HTTP 協(xié)議在網(wǎng)絡(luò)上是明文傳輸?shù)模诰W(wǎng)上很容易被劫持或篡改，而 HTTPS 協(xié)議可以保障請求數(shù)據(jù)的加密傳輸。

根據(jù) Chrome 的統(tǒng)計，超過 90% 的用戶已經(jīng)開始使用 HTTPS 協(xié)議瀏覽網(wǎng)站。

各大平臺使用 HTTPS 協(xié)議的占比：

使用 HTTPS 協(xié)議瀏覽時間占比：

排名前 100 的網(wǎng)站默認(rèn)啟用 HTTPS 協(xié)議，以及支持 HTTPS 協(xié)議的網(wǎng)站數(shù)量：

這意味著，當(dāng)前大多數(shù)的網(wǎng)站流量都經(jīng)過了加密和身份驗證，可以免受一些黑客的網(wǎng)絡(luò)攻擊。但是，現(xiàn)在仍有 5-10% 的流量頑固地保留在 HTTP 上，從而讓攻擊者能夠竊聽或更改這些請求的數(shù)據(jù)。

當(dāng)與網(wǎng)站的連接不安全時，Chrome 會在地址欄中顯示警告，但這是遠(yuǎn)遠(yuǎn)不夠的，很多人都不會注意到，而且就算注意到可能數(shù)據(jù)已經(jīng)被攻擊過了。

一個好的網(wǎng)絡(luò)環(huán)境應(yīng)該是默認(rèn)安全的，HTTPS 優(yōu)先模式可以讓 Chrome 能夠在不安全地連接到網(wǎng)站之前獲得我們的明確許可，從而兌現(xiàn)這一承諾。

Chrome 的目標(biāo)是最終默認(rèn)為每個用戶都啟用這個模式。雖然很多網(wǎng)站可能還沒有準(zhǔn)備好默認(rèn)啟用 HTTPS 優(yōu)先模式（比如網(wǎng)站如果沒有正確配置 TLS 證書，使用 HTTPS 訪問直接就掛掉了），所以下面 Chrome 將會啟用幾個過渡能力。

HTTPS 自動升級

Chrome 會自動將所有 http:// 協(xié)議的訪問默認(rèn)升級為 https://，即使我們明確使用了 http:// 協(xié)議去訪問網(wǎng)站。

這其實和 HSTS（一個 HTTP Header ：Strict-Transport-Security ，會講所有的 HTTP 流量默認(rèn)轉(zhuǎn)向 HTTPS） 的原理非常相似，你可以理解成給所有的網(wǎng)站都默認(rèn)加了 HSTS 。

但它比 HSTS 更友好一點，Chrome 會檢測這些默認(rèn)的升級是不是會失敗（例如，由于網(wǎng)站提供了無效的證書或返回 HTTP 404），然后自動回退到 http://。這個更改可以確保 Chrome 僅在 HTTPS 確實不可用時才使用不安全的 HTTP，而不是因為我們點擊了過時的不安全鏈接。目前 Chrome 115 版本正在試驗這一更改，并且努力標(biāo)準(zhǔn)化整個網(wǎng)絡(luò)的行為，可能很快就會對所有網(wǎng)站默認(rèn)開啟了。

雖然這個更改也沒有辦法完全防范主動的網(wǎng)絡(luò)攻擊，但它是我們邁向 HTTPS-First 模式的踏腳石，并且可以保護(hù)更多的流量免受被動的網(wǎng)絡(luò)竊聽和篡改。

不安全下載文件警告

目前，Chrome 已經(jīng)刪除了對混合下載（HTTPS 協(xié)議的網(wǎng)站下下載 HTTP 的內(nèi)容）的支持。

然后， Chrome 將在通過不安全的連接下載任何高風(fēng)險文件之前開始顯示警告。下載的文件可能包含繞過 Chrome 沙箱和其他保護(hù)的惡意代碼，當(dāng)發(fā)生不安全的下載時，網(wǎng)絡(luò)攻擊者可能會危害你的計算機(jī)。

這個警告其實還是告知大家正在承擔(dān)的安全風(fēng)險。如果你愿意承擔(dān)風(fēng)險，仍然可以下載這個文件。

在啟用 HTTPS-First 模式之前，Chrome 在不安全下載圖像、音頻或視頻等文件時不會顯示警告，因為這些文件類型相對安全，不過預(yù)計從 9 月中旬這些文件類型也會開始警告。

逐步推出 HTTPS-First 模式

因為整個網(wǎng)絡(luò)最終的目標(biāo)還是為所有人都啟用 HTTPS-First 模式，但是為了把影響降低到最小，可能先在下面的領(lǐng)域逐步推出：

已注冊 Google 高級保護(hù)計劃并登錄 Chrome 的用戶啟用 HTTPS-First 模式；

即將在隱身模式下默認(rèn)啟用 HTTPS-First 模式；

正在探索為很少使用 HTTP 協(xié)議的部分用戶自動啟用 HTTPS-First 模式；

如果你想馬上享受最安全的網(wǎng)絡(luò)環(huán)境，也可以到 chrome://settings/security 啟用 Always use secure connections 來啟用 HTTPS-First 模式～

最后

祝愿整個網(wǎng)絡(luò)環(huán)境中再無 HTTP ！ 再無劫持、篡改、竊聽 ～