Chrome doet volgend jaar non-HTTPS content in de ban

Tot nog toe worden dergelijke praktijken oogluikend toegestaan in de Chrome-browser. De aanpak kenmerkte de transitie van een onbeveiligde wereld via het http-protocol naar een veiliger wereld met https. In het laatste geval wordt de informatie versleuteld op zijn weg van de hostserver waarop een paginacode staat, naar de computer die de informatie heeft opgevraagd. Bij http gebeurt dat niet en is het verkeer in principe door iedereen af te tappen en te bekijken.

Inmiddels is zo'n 90 procent van alle verkeer dat Chrome-browsers bereikt, beveiligd via een https-verbinding, stelt Google in een blogpost. Tijd dus voor een volgende stap, vindt Google. De Chromegebruiker moet niet langer in de waan zijn een beveiligde website te bezoeken terwijl delen van de website helemaal niet beveiligd zijn.

Blokkade langzaam ingevoerd

Vanaf de introductie van Chrome 79 - in december dit jaar - zal in stapjes alle webpagina-inhoud die niet over een https-verbinding komt worden geblokkeerd, kondigt Google aan in een blogpost. Aanvankelijk kunnen gebruikers alsnog aangeven dat ze de inhoud willen laden. De browser gaat dan wel waarschuwen dat de site onveilig is. Vanaf januari 2020 zullen die 'unblocking options' geleidelijk verdwijnen.

Om al te veel ongemak te voorkomen bij deze overgang, bouwt Google wel een service in de browser in die website-exploitanten tegemoet komt. Deze zet alle http-verzoeken automatisch om in https-verzoeken. Kan de server waar de informatie vandaan komt deze ook over een https-verbinding leveren, is er dus niks aan de hand. Ondertussen raadt Google webmasters aan hun code na te lopen op het gebruik van verzoeken die nog http gebruiken - zogeheten mixed content - en die aan te passen.