HTTPS) é a versão segura do HTTP, que é o principal protocolo usado para enviar dados entre um navegador da Web e um site.
Recentemente desenvolvedores do Google, responsáveis pelo projeto Chromium, tornado conhecido por meio de uma postagem no blog suas intenções de implementar várias etapas para aumentar o uso de HTTPS por padrão.
Entre suas principais preocupações, eles mencionam que, apesar de cerca de 90% do tráfego de usuários do Chrome/Chromium vir de sites HTTPS, os outros 5-10% do tráfego restante são de sites HTTP, o que se traduz em navegação "Não tenho certeza".
Os desenvolvedores mencionam no post queO objetivo final do Google é habilitar o HTTPS-First para todos os usuários, que redireciona automaticamente as solicitações HTTP para HTTPS e, embora nem todos os sites suportem HTTPS ainda e existam configurações em que diferentes conteúdos são retornados ao acessar HTTP e HTTPS, decidiu-se implementar uma série de medidas intermediárias antes da introdução generalizada do encaminhamento automático para HTTPS.
Acreditamos que a web deve ser segura por padrão. O modo HTTPS-First permite que o Chrome cumpra exatamente essa promessa, obtendo sua permissão explícita antes de se conectar a um site de maneira insegura. Nosso objetivo é eventualmente habilitar este modo para todos por padrão. Embora a web ainda não esteja pronta para habilitar universalmente o modo HTTPS-First hoje, estamos anunciando várias etapas importantes em direção a esse objetivo.
E é que a partir do Chrome 115, o modo HTTPS-First foi ativado ggradualmente por padrão para uma pequena porcentagem de usuários. Para garantir o trabalho com sites que não suportam HTTPS, foi implementado um fallback para HTTP se, após o encaminhamento, não for possível concluir uma solicitação via HTTPS ou se houver problemas com certificados.
Para quem não conhece o HTTPS-First, posso dizer que ele resolve o problema de servir diferentes conteúdos por HTTP e HTTPS. Por exemplo, quando o HTTPS está habilitado, mas não configurado no servidor, o modo HTTPS-First será aplicado automaticamente por enquanto apenas se hits HTTPS anteriores forem registrados no histórico de navegação do site atual.
Os arquivos baixados podem conter código malicioso que ignora a caixa de proteção do Chrome e outras proteções, dando a um invasor de rede uma oportunidade única de comprometer seu computador quando ocorrerem downloads inseguros. Este aviso destina-se a informar as pessoas sobre o risco que estão correndo.
Você ainda poderá baixar o arquivo se estiver confortável com o risco. A menos que o modo HTTPS-First esteja ativado, o Chrome não exibirá avisos quando arquivos como imagens, áudio ou vídeo forem baixados de forma insegura, pois esses tipos de arquivo são relativamente seguros. Esperamos implementar esses avisos a partir de meados de setembro.
Nesta fase, o modo HTTPS-First é ativado para usuários que fizeram login em suas contas e concordaram em participar do programa de proteção avançada do Google.
Além disso, é mencionado que O Chrome 117 planeja implementar avisos ao tentar baixar arquivos em uma conexão insegurapara. Avisos serão exibidos para arquivos com algumas extensões perigosas (.exe, .zip) e informarão o usuário sobre o risco desses arquivos serem falsificados devido ao uso de um canal de comunicação não criptografado. Isso permitirá que o usuário ignore o aviso e continue baixando via HTTP. Arquivos de imagem, vídeo e música não receberão esses avisos.
Para quem estiver interessado em poder habilitar o modo HTTPS-First sem esperar sua ativação por padrão no navegador, pode fazê-lo no configurador (chrome://configurações/segurança), ativando a configuração “Sempre usar conexões seguras” ou usando a opção experimental “chrome:/ /flags/#https-upgrades” e “chrome://flags/#insecure-download-warnings”.
Finalmente, é mencionado que em uma versão futura do Chrome, está planejado habilitar HTTPS-First por padrão para páginas abertas no modo de navegação anônima, já que experimentos estão em andamento para habilitar automaticamente HTTPS-First para sites conhecidos por oferecer suporte a HTTPS, bem como habilitar HTTPS-First para usuários que raramente usam HTTP em seus navegadores.
Se estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir