Transisi ke protokol web HTTPS yang lebih aman telah mencapai titik stabil, menurut Google. Pada tahun 2020, 95 hingga 99 persen navigasi di Chrome menggunakan HTTPS. Untuk membantu membuat pengguna mengeklik tautan lebih aman, Chrome akan mengaktifkan setelan yang disebut Selalu Gunakan Koneksi Aman untuk situs publik bagi semua pengguna secara default. Ini akan terjadi pada bulan Oktober 2026 dengan dirilisnya Chrome 154.
Perubahan ini akan terjadi lebih awal bagi mereka yang telah mengaktifkan perlindungan Penjelajahan Aman yang Disempurnakan di Chrome. Google akan mengaktifkan Selalu Gunakan Koneksi Aman secara default pada bulan April ketika Chrome 147 dirilis. Jika setelan ini aktif, Chrome akan meminta izin Anda sebelum mengakses situs publik yang tidak menggunakan HTTPS terlebih dahulu.
Google telah bergerak ke arah ini selama beberapa waktu. Chrome mulai memperingatkan pengguna tentang situs web HTTP yang tidak aman pada tahun 2018 dan mulai menggunakan HTTPS secara default pada bulan April 2021. Tahun berikutnya, Chrome mulai menawarkan Selalu Gunakan Koneksi Aman dengan basis keikutsertaan.
Ketika HTTPS tidak digunakan, penyerang dapat merutekan ulang koneksi dengan relatif mudah dan menargetkan pengguna dengan malware, serangan rekayasa sosial, atau eksploitasi lainnya. “Serangan seperti ini tidak bersifat hipotetis – perangkat lunak untuk membajak navigasi sudah tersedia dan penyerang sebelumnya telah menggunakan HTTP yang tidak aman untuk menyusupi perangkat pengguna dalam serangan yang ditargetkan,” tulis tim Chrome dalam sebuah postingan blog. “Karena penyerang hanya membutuhkan satu navigasi yang tidak aman, mereka tidak perlu khawatir bahwa banyak situs telah mengadopsi HTTPS – navigasi HTTP mana pun mungkin bisa memberikan pijakan. Yang lebih buruk lagi, banyak koneksi HTTP teks biasa saat ini sama sekali tidak terlihat oleh pengguna, karena situs HTTP dapat langsung dialihkan ke situs HTTPS.” Selalu Gunakan Koneksi Aman adalah salah satu upaya tim Chrome untuk memitigasi risiko tersebut.
Koneksi HTTP masih bertahan dalam navigasi ke situs pribadi, seperti alamat IP lokal dan intranet perusahaan. Sulit bagi situs pribadi untuk mendapatkan sertifikat HTTPS (sesuatu yang dimiliki Engadget sejak 2016, penggemar fakta), karena nama pribadi yang sama dapat mengarah ke host berbeda di beberapa jaringan. Misalnya, banyak produsen router menggunakan “192.168.0.1” sebagai alamat IP lokal untuk mengakses panel admin perangkat keras. Namun, navigasi HTTP ke situs pribadi pada dasarnya lebih kecil risikonya dibandingkan di web publik. Mereka tidak sepenuhnya aman, tetapi satu-satunya vektor serangan HTTP pada situs pribadi adalah dari dalam jaringan lokal.
