A Google szerint a biztonságosabb HTTPS webprotokollra való áttérés leállt. 2020-tól a Chrome navigációinak 95–99 százaléka HTTPS-t használ. Annak érdekében, hogy a felhasználók biztonságosabban kattintsanak a linkekre, a Chrome alapértelmezés szerint minden felhasználó számára engedélyezi a Mindig használjon biztonságos kapcsolatokat a nyilvános webhelyekhez. Ez 2026 októberében fog megtörténni a Chrome 154 kiadásával.
A változás korábban fog bekövetkezni azoknál, akik bekapcsolták a Chrome-ban a Továbbfejlesztett Biztonságos Böngészés védelmet. A Google alapértelmezés szerint áprilisban engedélyezi a Mindig használjon biztonságos kapcsolatokat, amikor a Chrome 147 leáll. Ha ez a beállítás be van kapcsolva, a Chrome az Ön engedélyét kéri, mielőtt először hozzáférne egy olyan nyilvános webhelyhez, amely nem használ HTTPS-t.
A Google egy ideje ebbe az irányba halad. A Chrome elindult a felhasználók figyelmeztetése 2018-ban a HTTP-webhelyek nem biztonságossá tételére, és elkezdődött alapértelmezett HTTPS 2021 áprilisában. A következő évben ez elkezdte kínálni Mindig önkéntes alapon használja a Biztonságos kapcsolatokat.
Ha nem használ HTTPS-t, a támadó viszonylag könnyen átirányíthatja a kapcsolatot, és rosszindulatú programokkal, társadalmi manipulációs támadásokkal vagy más kizsákmányolásokkal célozhatja meg a felhasználót. „Az ehhez hasonló támadások nem elméletiek – a navigációt eltérítő szoftverek könnyen elérhetők, és a támadók korábban nem biztonságos HTTP-t használtak a felhasználói eszközök veszélyeztetésére egy célzott támadás során” – írta blogbejegyzésében a Chrome csapata. „Mivel a támadóknak csak egyetlen nem biztonságos navigációra van szükségük, nem kell aggódniuk amiatt, hogy sok webhely bevezette a HTTPS-t – bármelyik HTTP-navigáció támpontot jelenthet. Ami még rosszabb, sok egyszerű szöveges HTTP-kapcsolat ma teljesen láthatatlan a felhasználók számára, mivel a HTTP-webhelyek azonnal átirányíthatnak HTTPS-webhelyekre.” A Mindig használjon biztonságos kapcsolatokat a Chrome csapatának egyik kísérlete az ilyen kockázatok csökkentésére.
A HTTP-kapcsolatok továbbra is fennállnak a privát webhelyekre, például a helyi IP-címekre és a vállalati intranetekre történő navigálás során. Egy privát webhely számára bonyolult HTTPS-tanúsítvány beszerzése (amivel az Engadget rendelkezik volt 2016 ótatény rajongók), mert ugyanaz a privát név több hálózaton különböző gazdagépekre mutathat. Például sok útválasztó gyártó a „192.168.0.1”-et használja helyi IP-címként a hardver adminisztrációs paneljének eléréséhez. Ennek ellenére a privát webhelyekre történő HTTP-navigáció kevésbé kockázatos, mint a nyilvános weben. Nem teljesen biztonságosak, de a magánwebhelyekre irányuló HTTP-támadások egyetlen vektora a helyi hálózaton belülről származik.
