Chrome强制HTTPS访问：一篇实用的操作指南

在网络安全备受关注的当下，让浏览器始终通过加密的HTTPS连接访问网站，已成为基本的安全要求。不过，许多用户在配置Chrome时常常遇到一个困扰：即便网站已经部署了HTTPS，地址栏却依然固执地显示“https://”，这让不少人感到不踏实。

实际上，解决这个问题完全不需要借助第三方插件或额外工具。Chrome内置了一套成熟的安全策略机制，可以帮你对特定网站或全局流量实现自动的HTTP到HTTPS升级。其中最关键的两个方法，分别是“HSTS预加载”和“全局HTTPS升级功能”。

方法一：借助HSTS预加载，为特定域名“锁定”HTTPS

如果你拥有完全可控的内网或公网域名（例如公司内部系统域名），并且已经部署了有效的HTTPS证书，那么HSTS（HTTP Strict Transport Security，HTTP严格传输安全）预加载是最可靠的选择。它就像浏览器里的“安全备忘录”——一旦记录下“我以后只认HTTPS”，浏览器就再也不会尝试HTTP连接，而且该策略会持续生效，直到你主动清理缓存或策略过期。

具体操作步骤如下：

• 第一步，在Chrome地址栏直接输入 chrome://net-internals/#hsts 并回车。
• 第二步，向下滚动页面，找到【Add domain】区域。在Domain框中输入你要强制的域名，例如 yourcompany.com。注意：不要包含https://、https://或端口号，只输入纯粹的主机名即可。
• 第三步，勾选【Include subdomains】。这一步非常关键，它决定了该域名下的所有子站（比如 mail.yourcompany.com 或 api.yourcompany.com）是否也一起强制执行HTTPS跳转。如果漏选，某些子站可能仍然走HTTP，导致整体策略失效。
• 第四步，点击【Add】按钮。然后回到页面上方的【Query domain】区域，输入相同的域名。如果显示“Found”，则表示策略已成功写入Chrome的本地HSTS缓存。
• 第五步，彻底关闭所有Chrome窗口（包括后台进程），然后重新启动浏览器。之后尝试访问 https://yourcompany.com，地址栏会瞬间变成 https://yourcompany.com，并且旁边显示安全的小锁图标。

方法二：启用Chrome全局“HTTPS自动升级”功能

这种方法不依赖单个域名配置，而是由浏览器自动进行“主动探测”。自Chrome 119版本起，该功能默认开启，属于实验性功能。它会针对那些没有预先加载HSTS策略、但自身支持HTTPS的网站，发起升级探测。

启用方法很简单：在地址栏输入 chrome://flags/#https-upgrades，找到【HTTPS Upgrades】选项，将其从默认状态改为【Enabled】，然后点击右下角的【Relaunch】重启浏览器即可。

需要提醒一点：这个功能并非无脑强制。它只会在检测到目标服务器返回307重定向或明确表示支持HTTPS时，才触发跳转。如果服务器本身根本没有HTTPS服务，它会老老实实地用HTTP加载，不会直接报错中断，算是一种比较智能的“优化”逻辑。

如何验证你的设置已经生效？

配置完成后，总得检验一下实际效果。以下提供三种简单直观的验证方法：

• 第一招：直接观察。 在地址栏输入 https://example.com 并回车。如果配置成功，你几乎看不到HTTP的加载过程，地址栏会瞬间变为 https://example.com 并完成页面加载。
• 第二招：使用开发者工具。 按下F12打开开发者工具，切换到【Network】标签页，刷新页面。然后查看第一行网络请求的【Protocol】列，如果显示的是 h2 或 http/1.1（这些是HTTPS底层协议的标识），而不是赤裸裸的 http/1.1 明文协议，则说明HTTPS升级已生效。
• 第三招：查询HSTS缓存。 回到 chrome://net-internals/#hsts 页面，在【Query domain】中输入域名。如果显示【Found】，并且其中的 includeSubdomains 参数值为 true（前提是你之前勾选了该选项），则说明HSTS策略已稳稳激活。