谷歌浏览器HTTP强制自动重定向到HTTPS的完整指南

强制Chrome启用HTTPS访问：一份可落地的操作指南

在Web安全基线中，强制浏览器通过加密的HTTPS协议加载页面，已是不可妥协的环节。但不少运维人员在配置Chrome时，会遇到一个典型痛点：网站明明已支持HTTPS，地址栏却依然顽固显示“http://”，就像没走过HTTPS升级流程。

实际上，完成这项配置完全不需要安装任何第三方插件或工具。Chrome原生内置了一套成熟的安全策略机制，可以对特定域名或全局流量自动触发HTTP到HTTPS的升级。这里涉及两个核心方案：HSTS预加载与全局HTTPS升级功能。

方案一：通过HSTS预加载为特定域名“锁定”HTTPS

假设你掌管着内网或公网上的某个域名（例如公司内部系统），且已部署有效的HTTPS证书——那么HSTS（HTTP Strict Transport Security）预加载是最稳妥的强制手段。它的工作原理类似浏览器的“永久记忆体”：一旦记录“该域名只接受HTTPS”，浏览器在有效期内绝不会回退到HTTP，哪怕用户手动输入http://。该策略持续生效，直到你清除浏览器缓存或策略过期。

具体操作流程如下：

• 第一步：在Chrome地址栏直接输入 chrome://net-internals/#hsts 并回车。
• 第二步：向下滚动至【Add domain】区域。在Domain输入框中填写需要强制的域名，例如 yourcompany.com。注意：不要包含协议前缀（http://或https://）或端口号，仅填写纯域名。
• 第三步：勾选【Include subdomains】。这一步至关重要——它决定了该域名下所有子站（如 mail.yourcompany.com 或 api.yourcompany.com）是否同时强制HTTPS。如果漏勾，部分子站可能仍走HTTP，导致策略失败。
• 第四步：点击【Add】按钮。返回页面顶部的【Query domain】区域，输入相同域名。若显示“Found”，则表示策略已成功写入Chrome本地HSTS缓存。
• 第五步：完全关闭所有Chrome窗口（确保后台进程也终止），然后重新启动浏览器。再次访问 http://yourcompany.com，地址栏应瞬间跳转为 https://yourcompany.com，并显示出安全锁图标。

方案二：启用Chrome全局“HTTPS自动升级”功能

此方法无需逐个域名配置，由浏览器自动执行“主动探测”。自Chrome 119版本起，该功能默认开启（属于实验性功能）。它对那些未预加载HSTS策略但实际支持HTTPS的网站，发起升级探测。

启用手动步骤：在地址栏输入 chrome://flags/#https-upgrades，找到【HTTPS Upgrades】选项，将其从默认状态切换为【Enabled】，然后点击右下角的【Relaunch】重启浏览器。

需要注意：该功能并非无脑强制。只有当服务器返回307重定向或明确表示支持HTTPS时，才会触发跳转。若目标服务器根本不支持HTTPS，浏览器仍会以HTTP方式加载，不会直接报错终止。这是一种相对智能的“优化”逻辑，兼顾了可用性与安全性。

如何验证配置是否生效？

配置完成后，务必通过以下三种方法进行检验：

• 方法一：直接观察。 在地址栏输入 http://example.com 并回车。若配置成功，你将几乎看不到HTTP加载过程——地址栏会瞬间切换为 https://example.com 并完成页面渲染。
• 方法二：使用开发者工具。 按F12打开开发者工具，切换到【Network】标签页，刷新页面。查看第一行网络请求的【Protocol】列：若显示 h2 或 http/1.1（HTTPS底层协议标识），而非明文 http/1.1，则说明HTTPS升级已生效。
• 方法三：查询HSTS缓存。 回到 chrome://net-internals/#hsts 页面，在【Query domain】中输入域名。若显示【Found】，且 includeSubdomains 参数值为 true（如果你勾选了），则说明HSTS策略已稳固激活。

来源：互联网