Google hari ini mengumumkan bahwa browser web Chrome akan meminta izin secara default sebelum terhubung ke situs web HTTP publik yang tidak aman, dimulai dengan Chrome 154 pada bulan Oktober 2026.
Google Chrome juga memiliki ikut serta HTTPS-Mode Pertama sejak tahun 2021, yang menambahkan pengaturan “Selalu Gunakan Koneksi Aman” dan mencoba menyambung ke situs web melalui HTTPS (HyperText Transfer Protocol Secure), menampilkan peringatan yang dapat dilewati jika HTTPS tidak tersedia.
Namun, Google sekarang akan mengaktifkan opsi ini secara default untuk memastikan bahwa pengguna mengunjungi situs web hanya melalui HTTPS dan selalu terlindungi dari serangan man-in-the-middle (MITM) yang mencoba mengintip atau mengubah data yang dipertukarkan dengan server Internet melalui protokol HTTP yang tidak terenkripsi.
“Satu tahun dari sekarang, dengan dirilisnya Chrome 154 pada bulan Oktober 2026, kami akan mengubah pengaturan default Chrome untuk mengaktifkan ‘Selalu Gunakan Koneksi Aman.’ Artinya, Chrome akan meminta izin pengguna sebelum akses pertama ke situs publik mana pun tanpa HTTPS,” jelasnya Kata Tim Keamanan Chrome.
“Jika tautan tidak menggunakan HTTPS, penyerang dapat membajak navigasi dan memaksa pengguna Chrome memuat sumber daya yang sewenang-wenang dan dikendalikan penyerang, serta memaparkan pengguna pada malware, eksploitasi yang ditargetkan, atau serangan rekayasa sosial.”
Seperti yang dijelaskan lebih lanjut oleh Google, di semua varian pengaturan “Selalu Gunakan Koneksi Aman” (menargetkan situs web pribadi atau publik), Chrome tidak akan berulang kali memperingatkan pengguna tentang situs tersebut selama pengguna mengunjungi situs yang tidak aman secara rutin. Artinya, alih-alih memperingatkan pengguna tentang 1 dari 50 navigasi, Chrome hanya akan memperingatkan pengguna saat mereka membuka situs baru (atau yang jarang dikunjungi) yang tidak menggunakan HTTPS.
Selain itu, pengguna akan memiliki opsi untuk mengaktifkan peringatan koneksi tidak aman hanya untuk situs publik atau untuk situs publik dan pribadi (termasuk intranet perusahaan).
Penting untuk dicatat bahwa meskipun situs pribadi masih berisiko, situs tersebut umumnya dianggap kurang berbahaya dibandingkan situs publik karena peluang penyerang untuk mengeksploitasinya lebih kecil, dan HTTP hanya dapat disalahgunakan oleh penyerang dalam konteks yang lebih terbatas, seperti jaringan lokal seperti Wi-Fi rumah Anda atau dalam lingkungan perusahaan.
Namun, bahkan dengan kedua jenis peringatan ini diaktifkan, pengguna tidak akan dibombardir dengan notifikasi, karena sekitar 95-99% dari semua situs web telah mengadopsi HTTPS, peningkatan besar dari tingkat adopsi pada tahun 2015 yang sekitar 30-45%.
Sebelum mengaktifkannya secara default untuk semua pengguna, Chrome akan mengaktifkan “Selalu Gunakan Koneksi Aman” untuk situs publik bagi lebih dari 1 miliar pengguna menggunakan perlindungan Penjelajahan Aman yang Disempurnakan pada bulan April 2026, saat Chrome 147 dirilis.
“Meskipun kami berharap dan berharap bahwa transisi ini akan relatif tidak menimbulkan kesulitan bagi sebagian besar pengguna, pengguna masih dapat menonaktifkan peringatan tersebut dengan menonaktifkan pengaturan ‘Selalu Gunakan Koneksi Aman’,” tambah Google.
“Jika Anda seorang pengembang situs web atau profesional TI, dan Anda memiliki pengguna yang mungkin terpengaruh oleh fitur ini, kami sangat menyarankan untuk mengaktifkan pengaturan ‘Selalu Gunakan Koneksi Aman’ sekarang untuk membantu mengidentifikasi situs yang mungkin perlu Anda migrasikan.”
Pada bulan Oktober 2023, Google Chrome menambahkan fitur Peningkatan HTTPS yang secara otomatis meningkatkan tautan HTTP dalam halaman untuk mengamankan koneksi bagi semua pengguna, sekaligus memastikan penggantian cepat ke HTTP jika diperlukan.
Awal bulan ini, Google juga memperbarui kembali browser webnya menjadi secara otomatis mencabut izin notifikasi untuk situs yang belum dikunjungi baru-baru ini, untuk mengurangi kelebihan peringatan.
