TLS降级攻击（TLS stripping attacks）通过强制安全的HTTPS连接回退到未加密的HTTP，从而暴露敏感网络流量。当前防御机制依赖网站运营商主动选择启用安全措施，例如部署HTTP严格传输安全（HSTS）头部，但这些机制存在显著局限性：部分机制较弱或配置复杂，增加了配置错误的风险并降低了实际采用率；另一些机制违反HTTP向后兼容性；至少有一种机制甚至可以被滥用以实现非预期的用户跟踪。本文提出HSTS-Enforced机制，旨在消除TLS降级攻击的剩余攻击面，同时允许运营商在必要时安全地指定其网站需通过HTTP访问，从而保持可访问性。为此，我们将当前的选择加入（opt-in）安全模型翻转为选择退出（opt-out）模型：所有连接默认使用HTTPS，运营商可以通过所谓的“HTTP-Required”指示器显式选择退出，如果其网站需要HTTP。我们提出了两种HTTP-Required指示器：一种新的DNS记录和HTTP-Required预加载列表。我们在多种部署场景下评估了HSTS-Enforced，证明它能阻止所有实际的TLS降级尝试，同时保持对需要HTTP的网站的兼容性，且不会在典型情况下引入开销。最后，我们概述了一条实用的过渡路径以加速全球采用。