Aunque la mayor parte del tráfico en Internet pasa ahora por sitios web HTTPS, Google afirma que entre el 5 y el 10 % de la actividad todavía depende de HTTP, un protocolo muy inseguro y heredado que ya no debería utilizarse. Actualmente, Chrome muestra advertencias si visitas sitios web que utilizan HTTP, pero muchas personas las ignoran. Por ello, la empresa ha decidido que tomará medidas más agresivas para hacer cumplir el protocolo HTTPS en un esfuerzo por cambiar el comportamiento tanto de los autores de sitios web como de su audiencia.

En septiembre de 2021, Google implementóel modo HTTPS-First en Chrome 94, lo que obliga a los sitios a abrirse en HTTPS siempre que sea posible para los usuarios que habilitan esta capacidad. Sin embargo, la empresa ahora está adoptando un enfoque más proactivo al convertirlo en la experiencia predeterminada en las próximas versiones de Chrome. Desde el lanzamiento de Chrome 115, Google ha estadoexperimentandocon la habilitación de este comportamiento de forma predeterminada en el navegador. Los sitios web que utilizan HTTP se actualizan automáticamente a HTTPS, excepto en los casos en que esto falla debido a un certificado no válido o un error HTTP 404. Cuando esto sucede, todavía hay un mecanismo de respaldo en su lugar que muestra una advertencia sobre la seguridad de la conexión a un usuario y le permite continuar en el sitio web proporcionando explícitamente su permiso.

Este proceso también se está ampliando a los archivos de "alto riesgo" descargados a través de conexiones inseguras. En este caso, Google mostrará una advertencia en un cuadro de diálogo, pero permitirá que el usuario continúe con la descarga si reconoce el riesgo. Si el modo HTTPS-First está deshabilitado, no se mostrarán advertencias para los formatos descargados más simples, como imágenes, videos y audios, ya que Google cree que no conllevan el mismo riesgo que los archivos de alto riesgo antes mencionados, posiblemente haciendo referencia a tipos de archivos comprimidos como .zip.

En términos de implementación, el modo HTTPS-First ya está habilitado de forma predeterminada paralos clientes del Programa de Protección Avanzadaque hayan iniciado sesión en Chrome. Para otros, la configuración se habilitará en modo incógnito pronto. Google también está explorando la idea de habilitar automáticamente el modo HTTPS-First en los sitios web que cree que ya utilizas a través del protocolo, y también está experimentando con convertirlo en la experiencia predeterminada para los usuarios que rara vez usan HTTP.

Por ahora, aquellos interesados ​​en probar esta experiencia por sí mismos pueden habilitar las banderas "Actualizaciones HTTPS" y "Advertencias de descarga insegura" en chrome://flags. De manera similar, también pueden alternar el modo HTTPS-First a través de la configuración de seguridad "Usar siempre conexiones seguras" en Chrome.

Google ha instado a los desarrolladores web a garantizar que todo su contenido se ofrezca a través de conexiones HTTPS. Ha hecho hincapié en que esto también se aplica al contenido de bajo riesgo, ya que los atacantes pueden explotarlo simplemente para inyectar malware en el navegador para otras actividades maliciosas en lugar de solo apuntar a la carga útil específica del sitio web en sí. La empresa de tecnología también recomienda a los clientes empresariales y educativos que modifiquen sus entornos según sus necesidades especializadas.

El último paso es sólo uno de los muchos intentos que está realizando Google para hacer que la web sea más segura para todos. Recientemente, también propuso un nuevo estándar web llamado Web Environment Integrity API, pero existenciertas preocupacionesen torno a sus implicaciones negativas para los usuarios.