谷歌：不使用HTTPS的网站将会被Chrome浏览器默认拦截！

资源作者：TGO鲲鹏会 2025-10-29 21:56:01 阅读：87

昨天Google宣布了一个很炸裂的消息，自Chrome 154版本起，谷歌将调整Chrome浏览器的默认设置，默认开启"Always Use Secure Connections"（始终使用安全链接）功能。

这意味着如果用户访问不支持HTTPS的网站时，Chrome将会默认弹出提示框，询问用户是否继续访问，通俗一点来讲，如果你的网站没有部署SSL证书，那么用户将会被询问页直接挡在外面，可能会导致大部分用户因此而跳出网站，该功能预计在2026年10月施行。

这个信息一开是非常的炸裂，对于大部分根本不考虑网站安全的资讯类、展示类站长来说，可谓是晴天霹雳，站在Chrome的角度来说，为了用户安全Chrome需要让用户在其浏览器下的所有访问都是安全的，强制要求网站启用HTTPS可以有效阻止用户被中间人劫持，避免用户数据在传输过程中被窃取或篡改。

但是对于站长来说，启用HTTPS不仅增加了网站部署的成本（因为要买SSL证书），同时又要牺牲网站服务器的性能，HTTPS握手时需要验证，如果使用的免费证书没有OCSP服务，那么验证的时间会被拉长，这个过程中就会影响服务器的性能。

道理是这个道理，实际上大部分站长的这种担心特别的多余，因为当网站访问量并发请求比较大的时候才会有这样的情况，而目前我眼界中的很多站长，基本网站都没啥流量，这样的性能损耗其实对它基本没啥大的影响！

当然平衡这个问题的时候就可以光明正大的打个广告，商业证书只要足够便宜，就不会被这种事情所影响。（网络尖刀推出自有SSL证书品牌iTrustSSL）如果预算比较少，又需要安全且值得信赖的SSL证书，可以考虑考虑我们的iTrustSSL证书，显然这个信息对于踏足SSL证书赛道的我们来说确实特别利好。

专业安全公司与专业CA机构合作，做出来的证书，自然值得信赖！放眼国内大部分的SSL证书品牌，几乎都是销售驱动的OEM商，目前来说KnowSafe确实是唯一一家由专业安全公司联合CA机构一起推出的“自主可控”的SSL证书，至于为什么自主可控最多等我半年时间，我会在能说的时候大规模PR。

先说影响

这个影响肯定是特别大的，要知道除了Firefox、Safari外，我们常见的Microsoft Edge、Opera浏览器、360极速浏览器、QQ浏览器以及今年势头正猛的夸克浏览器，除此之外还有猎豹浏览器、华为浏览器、搜狗浏览器、2345浏览器、联想浏览器、旗鱼浏览器、闪电极速浏览器、小智双核浏览器.....市场上你能下的到的，大部分的浏览器都是基于Chrome的开源项目Chromium打包的。

不仅如此即便是最近OpenAI发布ChatGPT Atlas浏览器，以及之前的Dia浏览器、Comet浏览器这些近两年大火的AI浏览器的内核也是基于Chromium。

根据StatCounter发布的《2025年9月桌面浏览器市场调查报告》Chrome浏览器的市场份额已经达到了73.81%，亚军Microsoft Edge占据10.37%，而后面的季军Safari 5.69%、Firefox 4.45%、Opera 2.11%...

（图片引自IT之家）

毫不客气的说，强制使用HTTPS已然成为未来趋势。

再聊技术

谷歌之所以下定决心这样干，就是为了避免中间人攻击，虽然很粗暴但是确实是站在用户的立场上，逼迫网站运营者强行的去解决用户安全问题，其实国内开发各种APP、小程序早就已经强制性的要求相关接口必须使用HTTPS协议，而网站之前没有强制使用是一个随着互联网技术演化留下来的历史问题，Chrome既然开了个头，那么相信用不了多久Firefox、Safari也会做出同样的改变。

中间人攻击（Man-in-the-Middle Attack）在安全领域是一种特别常见的攻击手段，当用户浏览一个HTTP网页时，攻击者可以通过很多方式，轻易的实现对于用户和服务器之间传输的数据进行“窃听”，甚至对交换的数据进行“篡改”，从而实现非法目的。

窃听是指：直接拿走你的交互数据。

举例几个应用场景，你注册或者登录网站的账号密码信息、银行卡账号支付密码信息、地址收件人位置信息.....只要是你在表单上提交的各种数据，如果在HTTP的网站上都有可能会被窃取。

放眼到商业上很多SaaS网站、官网都会有一些用户留资表单的页面：

这些信息都有可能被窃取，很多企业官网都会花钱开SEM各种投流，希望获取客户的联系方式，但是在HTTP协议下这些信息确实就会被不法分子直接拿走，想想你在A平台提交了个需求，然后接到了一堆BCDEFG....各种公司打来的电话，这就是目前主流的信息泄露方式的源头之一。

篡改是指：替换掉用户原本所需要的信息。

这个最早比较典型的就是DNS劫持了，简单粗暴当你访问A网站，域名虽然是正确的，但是直接给你劫持到B的内容上面，过往最大的受害者就是页游的传奇，很多传奇客户端登录完成后内嵌的其实就是一个网页，经常会出现在某些地区，登录的是A游戏，打开竟然是B游戏的情况。

而近几年内比较常见的就是下载劫持，你想想作为网站运营者你发布了一个软件，结果遇到劫持，用户下载的时候被替换成了另一个链接，把原本正常的软件替换成为带有后门的恶意软件，大概率这就是一个精准诈骗的故事了，然而这种事情其实是比较常见且大部分在用户无感知的情况下一直在发生的。

最后说改变

为了权衡用户安全和尽量不影响用户体验，Chrome的策略是仅在首次访问的时候触发这个拦截规则，对于用户常访问的网站，手动信任一次后Chrome会记住用户的选择，不再重复警告。

但是如果用户清理了使用痕迹，亦或者长时间未打开这个网站，仍然会被二次触发提醒。

Google将会在2026年04月Chrome 147版本中首先面向已启用“增强安全浏览（Enhanced Safe Browsing）”的超过 10 亿用户开放。

同时Google将会在2026年10月的Chrome 154版本中默认启用“仅针对公共网站”的“始终使用安全连接”功能。

当然Chrome也设置了此功能的手动关闭按钮，但是我想对于大部分的用户来说，可能只有很小很小，小到忽略不计的用户体量会去手动设置，扎心一点来思考，他很有可能就是那个坚持不使用SSL证书的站长。

总之，部署SSL证书启用HTTPS协议已经是板上钉钉的事儿，随着对证书有效时间的控制，SSL证书的相关信息将会在未来的一定时间内频繁出现在公众视野。

避免这个问题最好的办法就是直接买个证书一下啥都解决，作为商业证书iTrustSSL做活动DV 单域名 50元/年对于企业根本不是个事儿，作为没啥流量的开发者不考虑性能、兼容各种问题直接用免费的Let's Encrypt、ZeroSSL也一样有很多选择。

谷歌：不使用HTTPS的网站将会被Chrome浏览器默认拦截！

先说影响

再聊技术

最后说改变

iTrustSSL是不是最适合小程序开发的SSL证书

Calicat启用iTrustSSL加密证书

适合外贸站最便宜的国内外SSL证书有哪些？