从 Chrome 154(计划于 2026 年 10 月发布)开始,Google Chrome 将为所有用户默认启用 HTTPS-First 模式。这意味着 HTTP 网站将显示全页拦截警告——用户必须点击才能继续访问,类似于”您的连接不是私密连接”的警告。
这是自 2018 年 Chrome 将 HTTP 标记为”不安全”以来最重大的浏览器强制变更。
具体变化
| 之前(当前) | 之后(Chrome 154+) | |
|---|---|---|
| HTTP 页面 | 地址栏显示”不安全”文字 | 全页警告,需要用户操作 |
| 访问 HTTP 的用户操作 | 无——页面正常加载 | 必须点击”继续访问网站” |
| 默认行为 | 如果没有 HTTPS 可用则加载 HTTP | 优先尝试 HTTPS,仅 HTTP 可用时警告 |
| 用户感知 | 小标签,经常被忽略 | 吓人的警告,大多数用户会离开 |
时间线
| 日期 | Chrome 版本 | 变更 |
|---|---|---|
| 2017 年 1 月 | Chrome 56 | 包含密码的 HTTP 页面显示”不安全” |
| 2018 年 7 月 | Chrome 68 | 所有 HTTP 页面显示”不安全” |
| 2023 年 | Chrome 115 | HTTPS-First 作为可选设置 |
| 2024 年 | Chrome 124 | 对主要使用 HTTPS 的用户自动启用 HTTPS-First |
| 2026 年 10 月 | Chrome 154 | 所有用户默认启用 HTTPS-First |
谁会受影响
任何仍在通过 HTTP 提供服务的网站。 截至 2026 年,全球约 13% 的网站仍是如此。如果你的网站:
- 没有 SSL 证书
- 有证书但没有将 HTTP 重定向到 HTTPS
- 证书已过期
…Chrome 用户将看到全页警告而非你的内容。
应对措施
如果你的网站已经使用 HTTPS 配合有效证书并重定向 HTTP 流量——对你没有任何影响。 Chrome 优先尝试 HTTPS 并成功连接。
如果你的网站仍在使用 HTTP:
步骤 1:获取证书(5 分钟)
使用 GetHTTPS 获取免费的 Let’s Encrypt 证书。无需安装——在浏览器中完成。
步骤 2:安装证书
Nginx | Apache | cPanel | WordPress | IIS | 所有平台 →
步骤 3:将 HTTP 重定向到 HTTPS
设置 301 重定向,让所有 HTTP 流量转向 HTTPS。这很关键——如果不做,Chrome 仍会对输入 http:// 的用户显示警告。
步骤 4:修复混合内容
确保页面上所有资源都通过 HTTPS 加载。混合内容指南 →
对 SEO 的影响
此变更放大了现有的 HTTPS 排名信号:
- HTTP 网站将看到大幅升高的跳出率,因为用户遇到警告后会离开
- 更高的跳出率 → 更低的互动指标 → 更低的排名
- Google 自 2014 年起就在发出这个方向的信号——HTTPS 不再是可选的
其他浏览器跟进
Chrome 不是孤军奋战:
- Firefox —— 一直在推出 HTTPS-Only 模式作为可选功能,预计会跟随 Chrome 的步伐
- Safari —— 已经对包含表单的 HTTP 页面发出警告,可能会扩展
- Edge —— 基于 Chrome 的 Chromium 内核,将继承此变更
常见问题
Chrome 会完全阻止 HTTP 网站吗?
目前不会。HTTPS-First 显示的是一个用户可以绕过的警告,不是硬性阻止。但警告足够吓人,大多数用户不会继续——实际上等于扼杀了面向消费者网站的 HTTP 流量。
我的网站有 HTTPS 但部分页面仍使用 HTTP 链接
Chrome 优先尝试 HTTPS。如果获得有效的 HTTPS 响应,警告不会出现。但你仍应该将 HTTP 重定向到 HTTPS 并修复混合内容以获得良好体验。
开发/测试服务器怎么办?
localhost 不受 HTTPS-First 限制。对于使用真实域名的测试服务器,要么获取证书(GetHTTPS 只需 5 分钟),要么使用自签名证书并添加浏览器例外。
我还有多少时间?
Chrome 154 计划于 2026 年 10 月发布,距今大约 5 个月。考虑到获取免费证书只需 5 分钟,没有理由等待。
这与 47 天证书变更有关吗?
无关。47 天有效期变更(2029 年前)是关于证书有效期——多久续签一次。HTTPS-First 是关于浏览器行为——HTTP 网站是否能无警告加载。它们是独立的变更,都在推动 HTTPS 的全面普及。