從 Chrome 154(計劃於 2026 年 10 月釋出)開始,Google Chrome 將為所有使用者預設啟用 HTTPS-First 模式。這意味著 HTTP 網站將顯示全頁攔截警告——使用者必須點選才能繼續訪問,類似於”您的連線不是私密連線”的警告。
這是自 2018 年 Chrome 將 HTTP 標記為”不安全”以來最重大的瀏覽器強制變更。
具體變化
| 之前(當前) | 之後(Chrome 154+) | |
|---|---|---|
| HTTP 頁面 | 位址列顯示”不安全”文字 | 全頁警告,需要使用者操作 |
| 訪問 HTTP 的使用者操作 | 無——頁面正常載入 | 必須點選”繼續訪問網站” |
| 預設行為 | 如果沒有 HTTPS 可用則載入 HTTP | 優先嚐試 HTTPS,僅 HTTP 可用時警告 |
| 使用者感知 | 小標籤,經常被忽略 | 嚇人的警告,大多數使用者會離開 |
時間線
| 日期 | Chrome 版本 | 變更 |
|---|---|---|
| 2017 年 1 月 | Chrome 56 | 包含密碼的 HTTP 頁面顯示”不安全” |
| 2018 年 7 月 | Chrome 68 | 所有 HTTP 頁面顯示”不安全” |
| 2023 年 | Chrome 115 | HTTPS-First 作為可選設定 |
| 2024 年 | Chrome 124 | 對主要使用 HTTPS 的使用者自動啟用 HTTPS-First |
| 2026 年 10 月 | Chrome 154 | 所有使用者預設啟用 HTTPS-First |
誰會受影響
任何仍在透過 HTTP 提供服務的網站。 截至 2026 年,全球約 13% 的網站仍是如此。如果你的網站:
- 沒有 SSL 證書
- 有證書但沒有將 HTTP 重新導向到 HTTPS
- 證書已過期
…Chrome 使用者將看到全頁警告而非你的內容。
應對措施
如果你的網站已經使用 HTTPS 配合有效證書並重新導向 HTTP 流量——對你沒有任何影響。 Chrome 優先嚐試 HTTPS 併成功連線。
如果你的網站仍在使用 HTTP:
步驟 1:獲取證書(5 分鐘)
使用 GetHTTPS 獲取免費的 Let’s Encrypt 證書。無需安裝——在瀏覽器中完成。
步驟 2:安裝證書
Nginx | Apache | cPanel | WordPress | IIS | 所有平臺 →
步驟 3:將 HTTP 重新導向到 HTTPS
設定 301 重新導向,讓所有 HTTP 流量轉向 HTTPS。這很關鍵——如果不做,Chrome 仍會對輸入 http:// 的使用者顯示警告。
步驟 4:修復混合內容
確保頁面上所有資源都透過 HTTPS 載入。混合內容指南 →
對 SEO 的影響
此變更放大了現有的 HTTPS 排名訊號:
- HTTP 網站將看到大幅升高的跳出率,因為使用者遇到警告後會離開
- 更高的跳出率 → 更低的互動指標 → 更低的排名
- Google 自 2014 年起就在發出這個方向的訊號——HTTPS 不再是可選的
其他瀏覽器跟進
Chrome 不是孤軍奮戰:
- Firefox —— 一直在推出 HTTPS-Only 模式作為可選功能,預計會跟隨 Chrome 的步伐
- Safari —— 已經對包含表單的 HTTP 頁面發出警告,可能會擴充套件
- Edge —— 基於 Chrome 的 Chromium 核心,將繼承此變更
常見問題
Chrome 會完全阻止 HTTP 網站嗎?
目前不會。HTTPS-First 顯示的是一個使用者可以繞過的警告,不是硬性阻止。但警告足夠嚇人,大多數使用者不會繼續——實際上等於扼殺了面向消費者網站的 HTTP 流量。
我的網站有 HTTPS 但部分頁面仍使用 HTTP 連結
Chrome 優先嚐試 HTTPS。如果獲得有效的 HTTPS 響應,警告不會出現。但你仍應該將 HTTP 重新導向到 HTTPS 並修復混合內容以獲得良好體驗。
開發/測試伺服器怎麼辦?
localhost 不受 HTTPS-First 限制。對於使用真實域名的測試伺服器,要麼獲取證書(GetHTTPS 只需 5 分鐘),要麼使用自簽名證書並新增瀏覽器例外。
我還有多少時間?
Chrome 154 計劃於 2026 年 10 月釋出,距今大約 5 個月。考慮到獲取免費證書只需 5 分鐘,沒有理由等待。
這與 47 天證書變更有關嗎?
無關。47 天有效期變更(2029 年前)是關於證書有效期——多久續簽一次。HTTPS-First 是關於瀏覽器行為——HTTP 網站是否能無警告載入。它們是獨立的變更,都在推動 HTTPS 的全面普及。