Sekarang saatnya HTTPS menjadi default

 (security.googleblog.com)
5 poin oleh GN⁺ 2025-10-31 | Belum ada komentar. | Bagikan ke WhatsApp
  • Mulai Chrome 154 yang dirilis pada Oktober 2026, setelan default browser akan beralih menjadi “Always Use Secure Connections”
  • Setelan ini akan menampilkan peringatan dan meminta izin pengguna saat mengakses situs publik tanpa HTTPS
  • Tingkat adopsi HTTPS naik dari 30~45% pada 2015 menjadi 95~99% pada 2020, tetapi setelah itu berada dalam kondisi stagnan
  • Chrome berencana menerapkan mode paksa HTTPS default yang dibatasi hanya untuk situs publik, guna meminimalkan ketidaknyamanan pengguna sekaligus meningkatkan tingkat keamanan
  • Perubahan ini bertujuan untuk memperkuat keamanan web secara keseluruhan dan meminimalkan risiko HTTP yang masih tersisa

Perubahan setelan default Chrome

  • Mulai Chrome 154 yang dirilis pada Oktober 2026, setelan “Always Use Secure Connections” akan diaktifkan secara default
    • Saat pertama kali mengakses situs publik tanpa HTTPS, pengguna akan melihat peringatan dan permintaan izin
    • Pada Chrome 147 (April 2026), fitur ini rencananya lebih dulu diterapkan kepada lebih dari 1 miliar pengguna Enhanced Safe Browsing
  • Pengguna dapat menonaktifkan setelan tersebut jika diinginkan

Status adopsi HTTPS

  • Selama lebih dari 10 tahun, Google telah melacak tingkat penggunaan HTTPS di Chrome melalui Laporan Transparansi HTTPS
    • Naik dari 30~45% pada 2015 menjadi 95~99% pada 2020
    • Setelah itu, laju pertumbuhannya stagnan
  • Berkat tingkat adopsi yang tinggi, kini dimungkinkan untuk mempertimbangkan langkah penanganan yang lebih tegas terhadap trafik HTTP yang tersisa

Menyeimbangkan keamanan pengguna dan meminimalkan peringatan

  • Meski 95% dari seluruh trafik sudah HTTPS, 5% koneksi HTTP yang tersisa tetap menjadi faktor risiko
  • Chrome akan mencegah peringatan berulang untuk situs yang sama agar mengurangi ketidaknyamanan pengguna
    • Untuk situs tidak aman yang sering dikunjungi, peringatan berulang tidak akan ditampilkan
  • Situs privat (misalnya 192.168.0.1, intranet, dll.) masih sering menggunakan HTTP karena sulit mendapatkan sertifikat
    • Karena situs-situs ini berisiko lebih rendah, pendekatan yang diperkenalkan adalah membatasi peringatan hanya pada situs publik
  • Hasil eksperimen menunjukkan bahwa dalam mode khusus situs publik, tingkat kemunculan peringatan pengguna kurang dari 3%, dan sebagian besar pengguna hanya mengalami peringatan paling banyak sekali per minggu

Kondisi penggunaan HTTP dan langkah perbaikan

  • Sebagian besar trafik HTTP berasal dari permintaan awal yang kemudian dialihkan ke HTTPS
  • Hal-hal seperti halaman pengaturan perangkat jaringan lokal sering masih menggunakan HTTP karena masalah sertifikat
  • Chrome memperkenalkan fitur Local Network Access Permission
    • Bahkan dari halaman HTTPS, akses ke jaringan lokal dimungkinkan setelah persetujuan pengguna
    • Dengan ini, peluang transisi halaman konfigurasi perangkat lokal ke HTTPS menjadi lebih besar

Panduan untuk pengembang dan administrator TI

  • Pengembang situs web dan administrator TI disarankan untuk mulai mengaktifkan setelan “Always Use Secure Connections” dari sekarang guna memeriksa situs mana yang akan terdampak
  • Di lingkungan pengelolaan Chrome (perusahaan, lembaga pendidikan, dll.), melalui dokumen panduan resmi dapat diperiksa
    • kondisi munculnya peringatan
    • metode mitigasi
    • cara mengatur kebijakan per organisasi, dan lainnya

Rencana ke depan

  • Google juga menetapkan tujuan tambahan untuk mengurangi hambatan adopsi HTTPS pada situs jaringan lokal

Bacaan terkait

Belum ada komentar.

Belum ada komentar.