De acordo com o Google, a transição para o protocolo web HTTPS mais seguro estagnou. Em 2020, 95-99% da navegação no Chrome usava HTTPS. Para ajudar os usuários a clicar em links com mais segurança, o Chrome ativa a configuração Sempre usar conexões seguras com sites públicos por padrão para todos os usuários. Isso acontecerá com o lançamento do Chrome 154 em outubro de 2026.
A mudança entrará em vigor mais cedo para usuários que ativaram a proteção aprimorada de Navegação segura no Chrome. O Google ativará Always Use Secure Connections por padrão quando o Chrome 147 for lançado em abril. Quando esta configuração estiver ativada, o Chrome solicitará sua permissão antes de acessar sites públicos que não usam HTTPS.
O Google vem caminhando nessa direção há algum tempo. O Chrome começou a alertar os usuários sobre sites HTTP inseguros em 2018 e começou a usar HTTPS por padrão em abril de 2021. No ano seguinte, começou a oferecer opcionalmente o uso sempre ativo de uma conexão segura.
Se o HTTPS não for usado, os invasores poderão redirecionar as conexões com relativa facilidade e atingir os usuários por meio de malware, ataques de engenharia social ou outras explorações. “Ataques como esse não são hipotéticos. Softwares que sequestram a navegação estão prontamente disponíveis e os invasores já usaram HTTP inseguro para comprometer os dispositivos dos usuários em ataques direcionados”, escreveu a equipe do Chrome em uma postagem no blog. “Você não precisa se preocupar com o fato de muitos sites terem adotado HTTPS, pois um invasor precisa apenas de uma navegação única e insegura. Uma única navegação HTTP pode fornecer uma base. Pior ainda, muitas conexões HTTP de texto simples hoje são completamente invisíveis para os usuários porque um site HTTP pode redirecionar imediatamente para um site HTTPS.” Usar sempre uma conexão segura é uma das tentativas da equipe do Chrome para mitigar esse risco.
Sua conexão HTTP permanecerá intacta ao navegar em sites privados, como endereços IP locais e intranets corporativas. É complicado para sites privados obterem certificados HTTPS (algo que o Engadget possui desde 2016) porque o mesmo nome privado pode apontar para diferentes hosts em múltiplas redes. Por exemplo, muitos fabricantes de roteadores usam “192.168.0.1” como endereço IP local para acessar seus painéis de gerenciamento de hardware. No entanto, a navegação HTTP em sites privados é inerentemente menos arriscada do que na web pública. Embora não seja totalmente seguro, o único vetor de ataque contra HTTP em sites privados vem da rede local.
