Компания Google намерена реализовать несколько шагов для усиления использования HTTPS по умолчанию. Конечной целью является включение для всех пользователей режима HTTPS-First, выполняющего автоматическое перенаправление HTTP-запросов на HTTPS. Отмечается, что в настоящее время более 90% запросов отправляются пользователями Chrome с использованием HTTPS, но 5-10% трафика по-прежнему привязано к HTTP. Так как не все сайты пока поддерживают HTTPS и существуют конфигурации, в которых при обращении по HTTP и HTTPS отдаётся разное содержимое, перед повсеместным внедрением автоматического проброса на HTTPS решено реализовать ряд промежуточных мер.
Начиная с Chrome 115 началось постепенное включение по умолчанию режима HTTPS-First для небольшого процента пользователей. Для обеспечения работы с сайтами не поддерживающими HTTPS, реализован откат на HTTP, если после проброса не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. Для решения проблемы с отдачей разного содержимого по HTTP и HTTPS, например, когда на сервере включён, но не настроен HTTPS, режим HTTPS-First пока автоматически будет применяться только, если в истории посещений для текущего сайта зафиксированы прошлые обращения по HTTPS.
На данном этапе режим HTTPS-First активирован для пользователей, вошедших в свою учётную запись и согласившихся на участие в программе Google Advanced Protection. В одном из следующих выпусков Chrome планируется активировать HTTPS-First по умолчанию для страниц, открываемых в режиме инкогнито. Ведутся эксперименты по автоматическому включению HTTPS-First для сайтов, для которых известно, что они поддерживают HTTPS, а также включению HTTPS-First у пользователей, которые редко используют в браузере HTTP.
Кроме того в Chrome 117 планируют реализовать вывод предупреждений при попытке загрузки файлов через незащищённое соединение. Предупреждения будут показываться для файлов с некоторыми опасными расширениями (“.exe”, “.zip”) и информировать пользователя о риске подмены данных файлов из-за использования незашифрованного канала связи. При этом пользователь сможет отклонить предупреждение и продолжить загрузку по HTTP. Для файлов с изображениями, видео и музыкой подобные предупреждения выводиться не будут.
Для включения режима HTTPS-First не дожидаясь его активации по умолчанию в браузере в конфигураторе (chrome://settings/security) можно включить настройку “Always use secure connections” или воспользоваться экспериментальными возможностями “chrome://flags/#https-upgrades” и “chrome://flags/#insecure-download-warnings”.