Pada bulan September 2021, Google meluncurkan mode HTTPS-First di Chrome 94, yang memaksa situs untuk membuka dengan HTTPS jika memungkinkan bagi pengguna yang mengaktifkan fitur ini. Namun, perusahaan sekarang mengambil pendekatan yang lebih proaktif dengan menjadikannya pengalaman default dalam rilis Chrome mendatang.
Sejak rilis Chrome 115, Google telah melakukan percobaan untuk mengaktifkan perilaku ini secara default di browser. Website yang menggunakan HTTP secara otomatis ditingkatkan menjadi HTTPS kecuali dalam kasus di mana ini gagal karena sertifikat yang tidak valid atau kesalahan HTTP 404.
Ketika hal ini terjadi, masih ada mekanisme fallback yang menampilkan peringatan tentang keamanan koneksi kepada pengguna dan memungkinkan mereka untuk melanjutkan ke website dengan memberikan izin secara eksplisit.
Proses ini juga diperluas untuk file-file “berisiko tinggi” yang diunduh melalui koneksi yang tidak aman. Di sini, Google akan menampilkan peringatan dalam dialog box tetapi masih memungkinkan pengguna untuk melanjutkan unduhan jika mereka mengakui risikonya.
Jika mode HTTPS-First dinonaktifkan, peringatan tidak akan ditampilkan untuk format unduhan yang lebih sederhana seperti gambar, video, dan audio, karena Google meyakini bahwa format-file tersebut tidak membawa risiko yang sama dengan file berisiko tinggi yang disebutkan sebelumnya, mungkin merujuk pada jenis file yang dikompresi seperti .zip.
Dalam hal penyebaran, mode HTTPS-First sudah diaktifkan secara default untuk pelanggan Program Perlindungan Lanjutan yang masuk ke Chrome. Untuk yang lain, konfigurasi ini akan diaktifkan dalam waktu dekat pada mode Incognito.
Google juga sedang menjelajahi ide untuk secara otomatis mengaktifkan mode HTTPS-First pada website yang diyakini telah Anda gunakan melalui protokol ini, dan sedang melakukan percobaan untuk menjadikannya pengalaman default bagi pengguna yang jarang menggunakan HTTP.
Untuk saat ini, bagi yang tertarik mencoba pengalaman ini sendiri dapat mengaktifkan “HTTPS Upgrades” dan “Insecure download warnings” melalui chrome://flags. Demikian pula, Anda juga dapat mengubah mode HTTPS-First melalui pengaturan keamanan “Always use secure connections” di Chrome.
Google mendorong para pengembang web untuk memastikan bahwa semua kontennya disajikan melalui koneksi HTTPS. Google menekankan bahwa ini juga berlaku untuk konten dengan risiko rendah karena penyerang dapat mengeksploitasi konten tersebut hanya untuk menyuntikkan malware ke browser untuk kegiatan jahat lainnya, bukan hanya menargetkan muatan tertentu pada website itu sendiri. Perusahaan teknologi ini juga merekomendasikan pelanggan enterprise dan pendidikan untuk memodifikasi lingkungan mereka sesuai dengan kebutuhan khusus mereka.
Langkah terbaru ini hanya salah satu dari banyak upaya yang dilakukan oleh Google untuk membuat web lebih aman bagi semua orang. Baru-baru ini, Google juga mengusulkan standar web baru yang disebut Web Environment Integrity API, tetapi ada kekhawatiran tertentu tentang dampak negatifnya bagi pengguna.
Secara perlahan, Google terus berupaya meningkatkan keamanan web dengan menerapkan kebijakan default HTTPS pada peramban Chrome. Pada September 2021, perusahaan menghadirkan mode HTTPS-First di Chrome 94, yang memaksa situs web untuk membuka dengan protokol HTTPS secara default, jika memungkinkan. Namun, Google kini mengambil pendekatan yang lebih proaktif dengan membuat mode HTTPS-First sebagai pengalaman default dalam rilis Chrome mendatang.
Mode HTTPS-First telah diaktifkan secara default bagi pelanggan Program Perlindungan Lanjutan yang masuk ke Chrome. Bagi pengguna lainnya, konfigurasi ini akan diaktifkan dalam mode Incognito. Google juga sedang menjelajahi kemungkinan untuk secara otomatis mengaktifkan mode HTTPS-First pada situs web yang diyakini telah digunakan pengguna melalui protokol ini. Selain itu, Google juga sedang melakukan percobaan untuk menjadikan mode HTTPS-First sebagai pengalaman default bagi pengguna yang jarang menggunakan HTTP.
Tujuan utama dari kebijakan ini adalah untuk meningkatkan keamanan browsing dan melindungi pengguna dari ancaman keamanan siber. Dengan memaksa situs web untuk menggunakan HTTPS, yang merupakan versi yang lebih aman dari HTTP, Google berharap dapat mengurangi risiko serangan yang memanfaatkan koneksi yang tidak aman dan melindungi data pribadi pengguna.
Google juga mendorong pengembang web untuk memastikan bahwa semua konten yang disajikan melalui koneksi HTTPS. Bahkan konten dengan risiko rendah dapat dieksploitasi oleh penyerang untuk menyuntikkan malware ke browser pengguna. Oleh karena itu, Google menekankan pentingnya penggunaan HTTPS untuk semua konten, tidak hanya konten yang dianggap berisiko tinggi.
Namun, langkah ini juga menimbulkan beberapa kekhawatiran. Beberapa pengguna mengkhawatirkan bahwa pengenalan HTTPS secara default dapat menimbulkan masalah kompatibilitas dengan beberapa situs web yang mungkin belum beralih ke HTTPS. Selain itu, ada juga kekhawatiran tentang dampak negatif terhadap kecepatan akses, terutama bagi pengguna di daerah dengan koneksi internet yang lambat atau tidak stabil.
Secara keseluruhan, langkah Google untuk mengenakan HTTPS secara default adalah langkah positif dalam meningkatkan keamanan web. Dengan memastikan bahwa situs web menggunakan HTTPS, Google dapat melindungi pengguna dari ancaman keamanan siber dan menjaga data pribadi mereka tetap aman.
Namun, penting juga bagi Google untuk mendukung pengembang web dalam beralih ke HTTPS dan mempertimbangkan kekhawatiran pengguna terkait dengan kecepatan akses dan masalah kompatibilitas. Dengan pendekatan yang tepat, langkah ini dapat memberikan manfaat yang signifikan dalam menjaga keamanan dan privasi pengguna di web.