Da anni Google combatte una battaglia silenziosa ma ostinata: far sparire il protocollo HTTP dalla faccia di Internet e sostituirlo completamente con il suo fratello maggiore e più responsabile, HTTPS. La “S” finale sta per “Secure”, ed è quella letterina che fa tutta la differenza tra navigare in relativa tranquillità e spalancare le porte della propria connessione a chiunque abbia voglia di curiosare o peggio.

Google Chrome attiverà la protezione HTTPS obbligatoria dal 2026: cosa cambia

Il problema con HTTP è semplice, è come mandare una cartolina al posto di una lettera sigillata. Chiunque si trovi sul percorso può leggerne il contenuto, modificarlo, o sostituirlo con qualcos’altro. Secondo Google, quando una connessione non è protetta da HTTPS, un pirata può dirottare la navigazione e costringere gli utenti di Chrome a caricare risorse arbitrarie controllate dall’hacker, esponendo l’utente a malware, exploit mirati o attacchi di ingegneria sociale .

Nel 2015, solo tra il 30% e il 45% delle navigazioni era protetto da HTTPS. Ma Google ha fatto pressione su sviluppatori, aziende e proprietari di siti web affinché facessero il salto, e la strategia ha funzionato. Nel 2020, il tasso di connessioni sicure era schizzato tra il 95% e il 99%.

Un successo clamoroso, giusto? Sì e no. Perché anche se il 95-99% sembra una vittoria quasi totale, quel restante 1-5% rappresenta ancora milioni di connessioni non sicure. E c’è un altro problema, spesso gli utenti si collegano a siti HTTP senza nemmeno saperlo, perché questi reindirizzano immediatamente alla versione HTTPS. Durante quella frazione di secondo di reindirizzamento, l’utente passa da una connessione vulnerabile a una sicura senza nemmeno vedere l’avviso di Chrome che segnala il rischio.

La stretta finale arriva a ottobre 2026 con Chrome 154

Google ha deciso che è tempo di chiudere definitivamente il rubinetto delle connessioni non sicure. Con Chrome 154, che arriverà ad ottobre 2026, il browser attiverà di default l’opzione “Utilizza sempre connessione sicura”. Questa funzione esiste già dal 2022, ma finora era sepolta nelle impostazioni e disattivata per default. La maggior parte degli utenti probabilmente non sapeva nemmeno che esistesse.

Una volta attivata automaticamente, Chrome mostrerà un avviso chiaro ogni volta che l’utente sta per connettersi a un sito non sicuro. E non sarà un avviso timido che si può ignorare, servirà un permesso esplicito per procedere.

Le eccezioni

Google ha previsto delle deroghe per non mandare nel caos totale alcune categorie di utenti. I siti privati, come le intranet aziendali dove il protocollo HTTP è ancora comune, potranno essere esclusi da questa misura. Del resto, obbligare tutte le aziende del mondo a ristrutturare le proprie reti interne per conformarsi a questa regola sarebbe stato un suicidio per le pubbliche relazioni.

Inoltre, Chrome eviterà di bombardare l’utente con lo stesso avviso se visita ripetutamente un sito non sicuro. Dopo la prima volta, il browser ricorderà la scelta e non farà la predica ogni volta che si torna. È un giusto compromesso.

La sicurezza diventa obbligatoria (finalmente)

Invece di lasciare che gli utenti decidano inconsapevolmente o per pigrizia di navigare su connessioni non sicure, Google sta forzando la mano, ma a fin di bene. Tra poco più di un anno, navigare su HTTP diventerà un’esperienza scoraggiata, un percorso a ostacoli fatto di avvisi e richieste di conferma. Per i gestori di siti che ancora non hanno fatto il passaggio a HTTPS, e sì, esistono ancora, il messaggio è inequivocabile: è arrivato il momento di aggiornarsi, se non si vuole diventare irrilevanti.