VOLTAR ÀS NOTÍCIAS
PesquisaBaixo

Chrome Adotará HTTPS por Padrão em 2026: O Que as Equipes de Segurança Precisam Saber

4 min de leituraFonte: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

Google anunciará o HTTPS obrigatório no Chrome a partir de outubro de 2026. Saiba como se preparar para a mudança e mitigar riscos de ataques MITM e redirecionamentos inseguros.

Chrome Adotará HTTPS por Padrão a Partir de Outubro de 2026

O Google anunciou que o Chrome ativará a opção "Sempre Usar Conexões Seguras" por padrão a partir da versão Chrome 154, em outubro de 2026. Essa mudança exigirá permissão do usuário antes de acessar qualquer site público sem HTTPS, marcando uma evolução significativa na postura de segurança do navegador.

Detalhes Principais

  • Cronograma: A configuração será implementada para usuários do Navegação Segura Avançada no Chrome 147 (abril de 2026) antes de se tornar padrão para todos os usuários no Chrome 154 (outubro de 2026).
  • Escopo: A funcionalidade se aplicará apenas a sites públicos, excluindo endereços de redes privadas/locais (ex.: 192.168.0.1, intranet/).
  • Impacto para o Usuário: O Chrome exibirá um aviso contornável para sites sem HTTPS, com frequência limitada a domínios novos ou pouco visitados para minimizar interrupções.

Justificativa Técnica

A decisão do Google decorre de riscos de segurança persistentes associados ao HTTP, incluindo:

  • Ataques man-in-the-middle (MITM): Atacantes podem sequestrar navegações para injetar malware, explorar vulnerabilidades ou realizar phishing. O Threat Analysis Group do Google documentou exploits reais que utilizam HTTP para ataques direcionados.
  • Redirecionamentos invisíveis: Muitos sites HTTP redirecionam imediatamente para HTTPS, mascarando a conexão inicial insegura dos usuários e dos avisos "Não Seguro" do Chrome.
  • Adoção estagnada de HTTPS: Embora 95–99% das navegações em sites públicos já utilizem HTTPS (segundo o relatório de transparência do Google), os 5% restantes de tráfego HTTP ainda representam riscos significativos. Sites privados/locais apresentam adoção ainda menor, chegando a 84% no Linux.

Análise de Impacto

Benefícios de Segurança

  • Reduz a superfície de ataque: O HTTPS por padrão mitiga riscos de MITM em sites públicos, alvos frequentes de exploração.
  • Incentiva a migração para HTTPS: Organizações com sites HTTP negligenciados (ex.: aqueles que usam redirecionamentos HTTP-para-HTTPS) serão incentivadas a adotar HTTPS integralmente.
  • Melhorias em redes locais: A permissão de Acesso à Rede Local do Google permite que sites HTTPS contornem o bloqueio de conteúdo misto para dispositivos locais aprovados, possibilitando configurações seguras.

Desafios Potenciais

  • Atrito em redes corporativas/locais: Sites privados (ex.: roteadores, dispositivos IoT) podem não possuir certificados HTTPS devido a nomes não exclusivos (ex.: 192.168.0.1), embora representem menor risco que sites públicos.
  • Fadiga do usuário: Embora os avisos sejam limitados a sites novos/infrequentes, alguns usuários ainda podem considerá-los disruptivos. A configuração permanece opt-out (passível de desativação).

Recomendações

  1. Para Equipes de Segurança

    • Auditar o uso de HTTP: Ative "Sempre Usar Conexões Seguras" no Chrome hoje (chrome://settings/security) para identificar sites que necessitam de migração para HTTPS.
    • Priorizar sites públicos: Foque em domínios com redirecionamentos HTTP ou conteúdo misto, pois são os mais propensos a acionar avisos.
    • Utilizar permissões de rede local: Aproveite a API de Acesso à Rede Local do Chrome para garantir interações seguras em HTTPS com dispositivos locais.

  2. Para Desenvolvedores/Administradores de TI

    • Revisar orientações do Google: Consulte o guia de adoção para mitigações específicas de ambientes corporativos.
    • Testar com antecedência: Implemente o Chrome 147 (abril de 2026) para validar a compatibilidade com ferramentas internas e sites privados.

  3. Para Proprietários de Sites

    • Eliminar redirecionamentos HTTP: Garanta que todos os domínios públicos carreguem diretamente via HTTPS para evitar avisos.
    • Obter certificados para sites privados: Explore soluções como Let’s Encrypt ou autoridades certificadoras internas para redes locais.

Perspectivas Futuras

O Google planeja reduzir ainda mais as barreiras para a adoção de HTTPS, especialmente para sites em redes locais. Atualizações futuras podem estender proteções a domínios privados, embora nenhum cronograma tenha sido anunciado.

Por enquanto, as equipes de segurança devem tratar essa mudança como um catalisador para eliminar dependências residuais de HTTP e fortalecer a infraestrutura voltada para a web contra ameaças de MITM.

Publicado pela equipe de Segurança do Chrome (Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark, David Adrian).

Compartilhar

TwitterLinkedIn