За даними Google, перехід на більш безпечний веб-протокол HTTPS досяг свого піку. Станом на 2020 рік 95–99 % переходів у Chrome здійснюються за протоколом HTTPS. Щоб зробити переходи за посиланнями безпечнішими для користувачів, Chrome за замовчуванням увімкне для всіх користувачів налаштування «Завжди використовувати безпечні з’єднання для публічних сайтів». Це відбудеться в жовтні 2026 року з випуском Chrome 154.
Зміна відбудеться раніше для тих, хто увімкнув розширений захист безпечного перегляду в Chrome. Google увімкне налаштування «Завжди використовувати безпечні з’єднання» за замовчуванням у квітні, коли вийде Chrome 147. Коли це налаштування увімкнено, Chrome запитуватиме ваш дозвіл перед першим доступом до публічного веб-сайту, який не використовує HTTPS.
Google вже деякий час рухається в цьому напрямку. Chrome почав попереджати користувачів про незахищені веб-сайти HTTP у 2018 році, а в квітні 2021 року почав використовувати HTTPS за замовчуванням. Наступного року він почав пропонувати функцію «Завжди використовувати безпечні з’єднання» на основі добровільної згоди.
Коли HTTPS не використовується, зловмисник може відносно легко перенаправити з’єднання і атакувати користувача за допомогою шкідливого програмного забезпечення, соціальних інженерних атак або інших експлойтів. «Такі атаки не є гіпотетичними — програмне забезпечення для перехоплення навігації є легкодоступним, і зловмисники раніше використовували незахищений протокол HTTP для компрометації пристроїв користувачів у цілеспрямованих атаках», — написала команда Chrome у своєму блозі. «Оскільки зловмисникам потрібна лише одна незахищена навігація, їм не потрібно турбуватися про те, що багато сайтів перейшли на HTTPS — будь-яка окрема навігація HTTP може стати для них плацдармом. Що гірше, багато звичайних HTTP-з’єднань сьогодні повністю невидимі для користувачів, оскільки HTTP-сайти можуть негайно перенаправляти на HTTPS-сайти». Функція «Завжди використовувати захищені з’єднання» — одна з спроб команди Chrome зменшити такі ризики.
HTTP-з’єднання все ще використовуються для переходу на приватні сайти, такі як локальні IP-адреси та внутрішні мережі компаній. Приватному сайту складно отримати сертифікат HTTPS (який Engadget має з 2016 року, для любителів фактів), оскільки одна і та ж приватна назва може вказувати на різні хости в декількох мережах. Наприклад, багато виробників маршрутизаторів використовують «192.168.0.1» як локальну IP-адресу для доступу до панелі адміністратора обладнання. Проте навігація по HTTP на приватних сайтах є менш ризикованою, ніж у публічній мережі. Вона не є повністю безпечною, але єдиним вектором атаки на HTTP на приватних сайтах є локальна мережа.
