Agora é hora de o HTTPS se tornar o padrão

• A partir do Chrome 154, com lançamento em outubro de 2026, a configuração padrão do navegador passará para “Always Use Secure Connections”
• Essa configuração exibirá um aviso e solicitará permissão ao usuário ao acessar sites públicos sem HTTPS
• A taxa de adoção do HTTPS subiu de 30~45% em 2015 para 95~99% em 2020, mas מאז então está estagnada
• O Chrome planeja aplicar por padrão um modo de imposição de HTTPS limitado a sites públicos, elevando o nível de segurança enquanto minimiza o incômodo para o usuário
• Essa mudança tem como objetivo reforçar a segurança da web como um todo e minimizar os riscos remanescentes do HTTP

Mudança na configuração padrão do Chrome

• A partir do Chrome 154, lançado em outubro de 2026, a configuração “Always Use Secure Connections” será ativada por padrão
  • Ao acessar pela primeira vez um site público sem HTTPS, o usuário verá um aviso e um pedido de permissão
  • No Chrome 147 (abril de 2026), a medida deverá ser aplicada primeiro a mais de 1 bilhão de usuários do Enhanced Safe Browsing
• O usuário poderá desativar essa configuração, se quiser

Situação atual da adoção de HTTPS

• Há mais de 10 anos, o Google acompanha a taxa de uso de HTTPS no Chrome por meio do Relatório de Transparência do HTTPS
  • De 30~45% em 2015 para 95~99% em 2020
  • Desde então, o crescimento ficou estagnado
• Graças à alta taxa de adoção, agora é possível considerar medidas mais fortes contra o tráfego HTTP remanescente

Equilíbrio entre segurança do usuário e minimização de alertas

• Mesmo que 95% de todo o tráfego use HTTPS, os 5% restantes de conexões HTTP ainda representam risco
• O Chrome reduzirá o incômodo ao usuário evitando alertas repetidos para o mesmo site
  • Sites inseguros visitados com frequência não exibirão avisos repetidos
• Sites privados (ex.: 192.168.0.1, intranet etc.) ainda usam muito HTTP, porque é difícil emitir certificados para eles
  • Como esses sites têm risco menor, será adotada uma abordagem que limita os avisos apenas a sites públicos
• Em testes, no modo voltado apenas para sites públicos, a taxa de ocorrência de alertas para usuários ficou abaixo de 3%, e a maioria das pessoas teve no máximo um aviso por semana

Uso atual de HTTP e medidas de melhoria

• Uma parte significativa do tráfego HTTP vem de requisições iniciais que são redirecionadas para HTTPS
• Páginas de configuração de dispositivos da rede local, por exemplo, muitas vezes usam HTTP por problemas com certificados
• O Chrome introduziu o recurso Local Network Access Permission
  • Mesmo em páginas HTTPS, será possível acessar a rede local após o consentimento do usuário
  • Com isso, amplia-se a possibilidade de migrar para HTTPS as páginas de configuração de dispositivos locais

Orientação para desenvolvedores e administradores de TI

• Recomenda-se que desenvolvedores de sites e administradores de TI ativem desde já a configuração “Always Use Secure Connections” para verificar quais sites serão afetados
• Em ambientes gerenciados do Chrome (empresas, instituições de ensino etc.), é possível consultar o guia oficial para verificar
  • Condições em que os avisos são exibidos
  • Métodos de mitigação
  • Como configurar políticas por organização

Próximos planos

• O Google também tem como objetivo adicional reduzir as barreiras para adoção de HTTPS em sites de rede local