Google ha annunciato due importanti novità in tema di sicurezza. A partire da Chrome 115 viene effettuato l’upgrade automatico alla connessione HTTPS per tutti i siti web. Al momento è solo un esperimento che riguarda un numero limitato di utenti. Il browser dell’azienda di Mountain View mostrerà inoltre un avviso quando il download dei file sospetti avviene da una connessione non sicura.
HTTPS-First Mode in Chrome
Oltre il 90% dei siti utilizza il protocollo HTTPS, quindi il traffico è cifrato e ci sono meno rischi per gli utenti. Quando Chrome visualizza il restante 10% dei siti con indirizzo HTTP mostra un avviso nella barra degli indirizzi. Dato che non tutti notato il warning, Google vuole attivare la funzionalità HTTPS-First Mode per impostazione predefinita. Per accedere ai siti HTTP è necessario il permesso esplicito dell’utente.
Ciò avverrà in maniera graduale. All’inizio verrà effettuato l’upgrade automatico da HTTP a HTTPS, quando l’utente clicca su un link HTTP. Il browser può rilevare se il sito non ha un certificato valido o se viene restituito un errore HTTP 404, per cui verrà effettuato il fallback a HTTP. L’esperimento è attualmente in corso su Chrome 115, ma è previsto il rollout per tutti.
La seconda novità aggiorna la protezione contro i download misti (file scaricati da link HTTP inseriti in pagine HTTPS). A partire da metà settembre, Chrome mostrerà un avviso quando l’utente cerca di scaricare file ad alto rischio da connessioni non sicure. È possibile scaricare ugualmente i file, se l’utente è consapevole delle conseguenze.
A meno che non sia attivata la HTTPS-First Mode, Chrome non visualizzerà l’avviso per file relativamente sicuri (immagini, audio e video) scaricati da connessioni HTTP. Gli utenti possono utilizzare le due funzionalità attivando i flag “HTTPS Upgrades” e “Insecure download warnings“.