Hacker News 中文摘要

RSS订阅

默认启用HTTPS -- HTTPS by default

原文链接 | HN讨论 | 2025-10-29 09:53:03

文章摘要

谷歌宣布将于2026年10月发布的Chrome 154中默认启用"始终使用安全连接"功能,这意味着Chrome在首次访问非HTTPS网站时将要求用户授权,以提升网络安全性和防止导航劫持攻击。

文章总结

标题:默认启用HTTPS安全连接

谷歌Chrome安全团队宣布,将于2026年10月发布的Chrome 154版本中,默认启用"始终使用安全连接"功能。这意味着浏览器在首次访问未采用HTTPS协议的公开网站时,将要求用户进行确认。

核心安全考量: 1. 当前约95-99%的网页加载已使用HTTPS(2020年数据),但剩余HTTP连接仍存在被劫持风险 2. 攻击者可利用HTTP连接注入恶意代码,实施中间人攻击 3. 许多HTTP连接会立即重定向到HTTPS,导致用户无法看到安全警告

实施策略: - 2022年已推出可选功能,2026年将设为默认 - 主要针对公开网站(如example.com),私有网络(如192.168.0.1)暂不强制 - 采用智能警告机制:对常访问的非HTTPS网站减少重复提示 - 企业用户可通过设置调整警告频率

技术背景: - 私有网络部署HTTPS证书仍存在技术困难 - 新推出的本地网络访问权限功能可解决混合内容拦截问题 - 实验数据显示:启用后用户每周平均收到少于1次警告

实施计划: - 2026年4月(Chrome 147)先对10亿启用"增强安全浏览"的用户开放 - 2026年10月全面默认启用 - 用户仍可手动关闭该功能

建议: 网站开发者应尽快测试现有系统,企业IT人员可参考谷歌提供的迁移指南。团队表示将持续优化HTTPS在本地网络的部署方案。

(注:原文中三张数据图表未在译文中体现,保留了对图表内容的文字说明)

评论总结

总结评论内容如下:

  1. HTTP测试工具推荐

    • 推荐使用http.rip和neverssl.com进行测试
      "http://http.rip/ is useful for testing this sort of thing."
      "I used to test with http://neverssl.com/ until they added HTTPS"

  2. Chrome对HTTP的警告机制

    • 用户反映Chrome已对HTTP站点显示警告多年
      "I've gotten warnings from Chrome about those sites every time for years"
      "Only if I've been to the site recently does the warning not show up"

  3. HTTPS普及现状

    • 主流操作系统HTTPS采用率达95%,但Linux仅80%
      "Why is Linux adoption at 80% when MacOS/Android/Windows are at 95%?"
    • 未加密网站多为老旧站点(如2007年停止更新的新闻网站)
      "It's almost always old stuff that pre-dates Let's Encrypt"

  4. 安全机制改进的必要性

    • 类比英国支付系统改革,说明技术改进比用户教育更有效
      "Upgrading payment systems to check the name was difficult but possible"
    • 用户默认认为HTTP连接具有安全性,HTTPS是更简单的解决方案
      "just making that true by upgrading to HTTPS is way easier"

  5. 开发测试环境问题

    • 关注localhost/127.0.0.1是否会被排除在警告机制外
      "I do hope that localhost/127.0.0.1 will be excluded for devs/testers"
    • 寻求本地HTTPS测试方案
      "Anyone have a good recipe for setting up an HTTPS for one-off experiments in localhost?"

  6. 现存未加密网站案例

    • 指出slackware.com等知名网站仍使用未加密连接
      "http://www.slackware.com/ is probably the biggest website... that does not serve encrypted traffic"
    • 部分服务商仅提供HTTP重定向,存在安全隐患
      "Two hosting providers I use only offer HTTP redirects"

  7. 对强制HTTPS的质疑

    • 认为这是"安全表演",无法阻止政府和雇主的中间人攻击
      "Security theatre is all it is. Protect us from petty thieves but let our employers and the gov MITM"
    • 用户应自主决定威胁模型,反对外部强加安全策略
      "I as a user should be allowed to decide my threat model"

  8. 历史案例

    • 举例2012年Pandora仍通过HTTP处理信用卡信息
      "Pandora's premium plan back in 2012... credit card form being served and processed over HTTP"
    • 当时HTTPS尚未普及,转换过程艰难
      "Back then HTTPS was NOT the norm and it was a battle to switch people to it"