Google ha sempre sostenuto l’importanza di HTTPS e ha annunciato oggi la sua ultima iniziativa in Chrome per rendere HTTPS il default. Secondo l’ultimo rapporto di trasparenza di Google sull’uso di HTTPS, oltre il 90% delle navigazioni degli utenti di Chrome avviene su siti HTTPS, su tutte le principali piattaforme, inclusi Android, Mac e Windows.
Persistenza del traffico HTTP
Nonostante l’ampia adozione di HTTPS, tra il 5% e il 10% del traffico rimane su HTTP, esponendo gli utenti a potenziali attacchi e manipolazioni dei dati. Google ritiene che l’avviso “non sicuro” nella barra degli indirizzi di Chrome non sia sufficiente. Molti utenti potrebbero non notare l’avviso e, una volta che lo fanno, il danno potrebbe già essere stato fatto.
Modalità HTTPS-First
La risposta di Chrome a questa sfida è la modalità “HTTPS-First”, in cui il browser tenterà di passare a HTTPS. Se ciò non riesce, gli utenti dovranno confermare di voler visitare un sito non sicuro su HTTP. L’obiettivo è abilitare questa modalità per tutti gli utenti come impostazione predefinita. Tuttavia, Google sottolinea che “il web non è ancora pronto per abilitare universalmente la modalità HTTPS-First oggi”.
Implementazione e prossimi passi
Nel frattempo, la modalità HTTPS-First sarà attivata per coloro che utilizzano il Programma di Protezione Avanzata. Sarà anche presto l’impostazione predefinita in Modalità Incognito. Inoltre:
Chrome sta sperimentando l’attivazione automatica delle protezioni HTTPS-First su siti che si sa vengono tipicamente accessi tramite HTTPS.
Google sta esplorando la possibilità di attivare automaticamente la modalità HTTPS-First per gli utenti che utilizzano HTTP molto raramente.
Avvertenze per i download
Chrome mostrerà un avviso quando si scaricano file ad alto rischio su una connessione non sicura. Gli utenti potranno comunque scaricare il file se sono a proprio agio con il rischio. A meno che la modalità HTTPS-First non sia attivata, Chrome non mostrerà avvertenze durante il download di file come immagini, audio o video, poiché questi tipi di file sono relativamente sicuri. L’introduzione di questi avvertimenti è prevista a partire da metà settembre.