Segundo um anúncio recente dos desenvolvedores do Google no projeto Chromium, o Google quer aumentar o uso de HTTPS por padrão.
HTTPS é a versão segura do HTTP, que é o principal protocolo usado para enviar dados entre um navegador da Web e um site.
Os desenvolvedores do Google, responsáveis pelo projeto Chromium, anunciaram recentemente em um blog suas intenções de implementar várias etapas para aumentar o uso de HTTPS por padrão.
Google quer aumentar o uso de HTTPS por padrão
Sim. O Google quer aumentar o uso de HTTPS por padrão. Entre suas principais preocupações, eles mencionam que, apesar de cerca de 90% do tráfego de usuários do Chrome/Chromium vir de sites HTTPS, os outros 5-10% do tráfego restante são de sites HTTP, o que se traduz em navegação “Não tenho certeza”.
Os desenvolvedores mencionam na postagem que o objetivo final do Google é habilitar o HTTPS-First para todos os usuários, o que redireciona automaticamente as solicitações HTTP para HTTPS e mesmo que nem todos os sites suportem HTTPS ainda e haja configurações em que o conteúdo é retornado ao contrário ao acessar HTTP e HTTPS, decidiu-se implementar uma série de medidas intermediárias antes da introdução generalizada do encaminhamento automático para HTTPS.
“Acreditamos que a web deve ser segura por padrão. O modo HTTPS-First permite que o Chrome cumpra exatamente essa promessa, obtendo sua permissão explícita antes de se conectar a um site de maneira insegura. Nosso objetivo é eventualmente habilitar este modo para todos por padrão. Embora a web ainda não esteja pronta para habilitar universalmente o modo HTTPS-First hoje, estamos anunciando várias etapas importantes em direção a esse objetivo.”
E é que, a partir do Chrome 115, o modo HTTPS-First foi gradualmente ativado por padrão para uma pequena porcentagem de usuários. Para garantir o trabalho com sites que não suportam HTTPS, foi implementado um fallback para HTTP se, após o encaminhamento, não for possível concluir uma solicitação via HTTPS ou se houver problemas com certificados.
Para quem não conhece o HTTPS-First, posso dizer que ele resolve o problema de servir diferentes conteúdos por HTTP e HTTPS.
Por exemplo, quando o HTTPS está habilitado, mas não configurado no servidor, o modo HTTPS-First será aplicado automaticamente por enquanto apenas se hits HTTPS anteriores forem registrados no histórico de navegação do site atual.
“Os arquivos baixados podem conter código malicioso que ignora a caixa de proteção do Chrome e outras proteções, dando a um invasor de rede uma oportunidade única de comprometer seu computador quando ocorrerem downloads inseguros. Este aviso destina-se a informar as pessoas sobre o risco que estão correndo.
Você ainda poderá baixar o arquivo se estiver confortável com o risco. A menos que o modo HTTPS-First esteja ativado, o Chrome não exibirá avisos quando arquivos como imagens, áudio ou vídeo forem baixados de forma insegura, pois esses tipos de arquivo são relativamente seguros. Esperamos implementar esses avisos a partir de meados de setembro.”
Nesta fase, o modo HTTPS-First é ativado para usuários que fizeram login em suas contas e concordaram em participar do programa de proteção avançada do Google.
Além disso, é mencionado que o Chrome 117 planeja implementar avisos ao tentar baixar arquivos em uma conexão insegura.
Avisos serão exibidos para arquivos com algumas extensões perigosas (.exe, .zip) e informarão o usuário sobre o risco desses arquivos serem falsificados devido ao uso de um canal de comunicação não criptografado.
Isso permitirá que o usuário ignore o aviso e continue baixando via HTTP. Arquivos de imagem, vídeo e música não receberão esses avisos.
Para quem estiver interessado em poder habilitar o modo HTTPS-First sem esperar sua ativação por padrão no navegador, pode fazê-lo no configurador (chrome://settings/security), habilitando a opção “Sempre usar conexões seguras” configurando ou usando as funções experimentais “chrome://flags/#https-upgrades” e “chrome://flags/#insecure-download-warnings“.
Por fim, é mencionado que em uma versão futura do Chrome, está planejado habilitar HTTPS-First por padrão para páginas abertas no modo anônimo, já que estão em andamento experimentos para habilitar automaticamente HTTPS-First para sites conhecidos por oferecer suporte a HTTPS, bem como como habilitar HTTPS-First para usuários que raramente usam HTTP em seus navegadores.
