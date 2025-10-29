A partire da ottobre 2026, con il rilascio di Chrome 154, Google introdurrà una delle modifiche più significative nella storia della sicurezza del Web: l’attivazione predefinita dell’opzione “Utilizza sempre connessioni sicure”. Significa che il browser chiederà esplicitamente all’utente il consenso prima di accedere (per la prima volta) a qualsiasi sito pubblico che non utilizzi il protocollo HTTPS e che quindi non trasferisca i dati tra client e server (e viceversa) usando un collegamento crittografato.

Dalla trasparenza all’imposizione di HTTPS per default

Da anni, gli sviluppatori di Chrome lavorano per scongiurare l’uso di connessioni non cifrate durante la navigazione sul Web: esse rappresentano infatti un potenziale vettore di attacco. Lo scambio di dati con il semplice protocollo HTTP può consentire a un aggressore di intercettare o modificare il traffico, iniettare malware o condurre attacchi di social engineering.

Dal 2015 al 2020, i dati del rapporto sulla trasparenza HTTPS di Google mostrano un progresso eccezionale: le connessioni sicure sono passate da una media del 30-45% fino a raggiungere il 95-99% del traffico globale. Tuttavia, negli ultimi anni la crescita si è stabilizzata, e questa stagnazione ha spinto Google ad accelerare il passaggio verso il concetto di sicurezza per impostazione predefinita.

Come funziona “Utilizza sempre connessioni sicure”

L’opzione “Utilizza sempre connessioni sicure” fu introdotta in forma opzionale nel 2022: forza Chrome a tentare ogni connessione tramite HTTPS. Se il sito non supporta HTTPS, il browser restituisce un avviso che l’utente può eventualmente ignorare.

È possibile trovare l’impostazione tra le regolazioni di Chrome, digitando chrome://settings/security nella barra degli indirizzi.

Con Chrome 154, la modalità diventerà attiva per tutti gli utenti, ma in una versione specifica per i siti pubblici: i domini privati (i.e. indirizzi IP locali o host interni come 192.168.0.1 o intranet/ ) saranno esclusi per ridurre il numero di falsi allarmi.

Si tratta di una distinzione è fondamentale: le connessioni HTTP verso siti privati, ad esempio ospitate su un server locale o in LAN, sono generalmente meno rischiose, poiché possono essere sfruttate solo da attaccanti presenti sulla stessa rete locale. Invece, i siti pubblici in HTTP espongono gli utenti a rischi molto più concreti.

Un approccio graduale e bilanciato

L’obiettivo di Chrome non è solo aumentare la sicurezza, ma farlo senza compromettere l’esperienza utente. Gli sviluppatori hanno introdotto un sistema che evita avvisi ripetuti: se un utente visita regolarmente un sito HTTP, Chrome non mostrerà continuamente l’avviso, ma solo al primo accesso o dopo un lungo periodo di inattività.

Durante i test condotti su Chrome 141, l’attivazione della modalità sicura per una piccola percentuale di utenti ha dimostrato risultati incoraggianti: meno del 3% delle navigazioni ha generato un avviso, con una media inferiore a un avviso alla settimana per utente.

HTTPS e siti locali: una questione ancora aperta

Uno degli ostacoli principali al completo abbandono del protocollo HTTP, riguarda i dispositivi e i servizi in rete locale, come router, stampanti o NAS, che spesso non dispongono di certificati validi. Per affrontare questo scenario, Google ha introdotto una “local network access permission”: una nuova autorizzazione che permette a un sito HTTPS di comunicare con i dispositivi locali.

Quando una pagina HTTPS vuole accedere a un dispositivo locale (ad esempio, il router), Chrome mostra un prompt di autorizzazione all’utente. Se l’utente acconsente, il browser consente temporaneamente a quel sito HTTPS di inviare richieste HTTP alla rete locale. In questo modo, non si rompe la sicurezza globale (perché serve un consenso esplicito), ma si permette al sito di configurare o interagire con dispositivi locali anche senza certificati HTTPS.

Note finali

L’impostazione “Utilizza sempre connessioni sicure” per i siti pubblici sarà attivata di default ad aprile 2026 con Chrome 147 per gli oltre 1 miliardo di utenti che hanno abilitato Protezione avanzata nelle impostazioni di Chrome (sezione chrome://settings/security ).

Come indicato in precedenza, la funzione diventerà predefinita per tutti gli utenti di Chrome a livello globale a partire da ottobre 2026, con il rilascio di Chrome 154.

Chi lo desidera, potrà comunque disattivare la funzione, ma Google raccomanda a sviluppatori e amministratori IT di attivarla subito per identificare i siti che ancora non supportano HTTPS.