据科技媒体bleepingcomputer 10月28日消息，谷歌将从2026年10月发布的Chrome 154版本开始，默认启用“始终使用安全连接”功能。这意味着用户访问未加密的HTTP网站时，浏览器会先弹出警告窗口，仅首次访问或久未打开此类网站时才触发提醒，核心是防范中间人攻击。

为啥谷歌要花十几年持续加码HTTP限制？这得从网络安全的现实威胁说起。2025年5月，名为Vicious Trap的黑客组织就利用漏洞控制5500台设备，通过中间人攻击窃取84个国家的流量数据。

更通俗的例子是2021年吴某凡事件，攻击者冒充双方身份诈骗68万元，本质就是典型的中间人攻击——若通信经过加密，这类骗局根本无从下手 。

网络安全专家早就指出，HTTP明文传输就像“裸奔”，攻击者能轻松窃听密码、篡改转账信息，甚至植入挖矿脚本。

这次更新绝非突然之举，而是谷歌十年推进计划的关键一步。早在2014年，HTTPS就被纳入谷歌排名算法；2018年Chrome 68开始给所有HTTP网站标“不安全”，如今加密流量占比已超90% 。

但仍有少量网站坚守HTTP，多是技术能力薄弱的中小站点，或是依赖旧系统的政务、企业内网——他们觉得“静态页面没必要加密”，却不知这会成为安全漏洞。

警告窗口会不会成“新麻烦”？有用户担心常用的老旧网站会频繁弹窗，其实谷歌设计得很灵活，重复访问不会反复提醒。

但对站长来说压力不小：实验数据显示，带“不安全”标记的网站用户跳出率飙升，电商转化率能降22%。好在解决方案不难，Let's Encrypt等机构提供免费SSL证书，部署成本早已大幅降低，只是很多中小站长还没意识到紧迫性。

谷歌的动作也倒逼全行业跟进。如今Chrome占全球浏览器市场份额超60%，它的标准基本就是行业标准。

虽然Firefox、Edge尚未明确同步计划，但从历史来看，大概率会跟进加码——毕竟2025年全球网络漏洞数量预计接近5万，浏览器作为第一道防线必须升级。

正如网络安全研究员所说：“HTTPS早已不是可选项，而是合规和生存的底线。”

你遇到过HTTP网站的安全风险吗？对于必须访问的老旧HTTP站点，你觉得浏览器该如何优化提醒机制？

（本文信息与数据来源：https://www.bleepingcomputer.com/news/google/chrome-to-enforce-always-use-secure-connections-by-default-in-2026/, https://juejin.cn/post/7533234501397266432, https://juejin.cn/post/7506061169469931530, https://www.51cto.com/article/821246.html）