Chrome cuối cùng cũng sẽ đặt URL bảo mật làm mặc định — trong một năm tới

Phần lớn trang web đã chuyển sang các liên kết an toàn — nghĩa là khi bạn nhập một trang như pcworld.com, nó sẽ cung cấp các trang của mình qua kết nối https ("giao thức truyền tải siêu văn bản bảo mật") thay vì qua http không bảo mật. Nhưng không phải mọi nhà điều hành trang web đều đã thực hiện việc này.

Từ góc độ bảo mật, http khiến người dùng dễ bị khai thác. Cố gắng tải một kết nối http và bạn sẽ mở ra một cửa sổ cho các tác nhân xấu chèn các mã khai thác, phần mềm độc hại hoặc các cuộc tấn công thao túng tâm lý.

Đội ngũ phát triển tại Chrome biết đây là một vấn đề, vì vậy trong một năm nữa, trình duyệt này sẽ thay đổi cách tiếp cận của mình. Bắt đầu từ tháng 10 năm 2026 với việc phát hành Chrome 154, Chrome sẽ không cho phép tất cả các kết nối http theo mặc định.

Nhưng chờ đã, bạn có thể đang nói rằng: Tôi đã thấy Chrome gắn cờ các trang web là lỗi quyền riêng tư vì không được phục vụ qua https rồi mà. Đúng vậy, bạn chính xác. Cảnh báo đó đã tồn tại được một thời gian, nhưng nó không chặn kết nối. Nó cũng chỉ hiển thị cho các trang web chỉ được phục vụ dưới dạng http. Chrome vẫn chưa gắn cờ hoặc chặn các kết nối cố gắng truy cập trang http trước rồi sau đó mới tự động được chuyển hướng sang phiên bản được phục vụ qua https.

Như bài đăng trên blog của Google về thay đổi sắp tới này đã chỉ ra, ngay cả loại chuyển hướng này cũng cung cấp cơ hội mà kẻ tấn công cần. Tệ hơn nữa, vì cảnh báo "Không bảo mật" (Not secure) hiện không hiển thị trong Chrome, người dùng thậm chí không biết rằng họ đã khiến mình trở nên dễ bị tổn thương vào thời điểm đó.

Tại sao bây giờ mới chuyển sang https làm mặc định? Thay đổi này đã được lên kế hoạch từ lâu, với điểm bùng phát bị ảnh hưởng bởi tỷ lệ áp dụng https trên toàn mạng web. Từ các số liệu thống kê của chính mình, Google ước tính số lượng các trang cung cấp kết nối https là từ 95 đến 99 phần trăm, tăng lên từ mức chỉ 30 đến 45 phần trăm vào năm 2015.

Nếu bạn lo lắng về việc bị ảnh hưởng bởi các cảnh báo liên tục (tương tự như các thông báo cài đặt cookie xuất hiện khắp nơi), Google đã nhanh chóng trấn an rằng họ sẽ cân bằng giữa bảo mật và tính khả dụng. Mặc định này sẽ áp dụng cho các trang web công cộng, vốn đã sử dụng https theo mặc định một cách áp đảo. Điểm vướng mắc sẽ nằm nhiều hơn ở các trang riêng tư như địa chỉ IP của bộ định tuyến (ví dụ: 192.168.1.1), nhưng Chrome sẽ chỉ đưa ra cảnh báo trên các trang mới hoặc các trang không thường xuyên truy cập.

Về lý do cho việc triển khai kéo dài, lộ trình này cho phép các trang web chuyển đổi hoàn toàn sang việc phục vụ các trang qua https. Chrome cũng sẽ đưa người dùng dần dần vào mặc định mới này. Những người đã tham gia Duyệt web an toàn nâng cao (Enhanced Safe Browsing) sẽ được chuyển sang "Luôn sử dụng kết nối bảo mật" làm mặc định bắt đầu từ Chrome 147, dự kiến phát hành vào tháng 4 năm 2026.

Tin tốt là, theo thử nghiệm của chính Google, người dùng sẽ hiếm khi thấy các cảnh báo cửa sổ bật lên gây phiền hà. Vì vậy, thực sự không có lý do gì để chờ đợi sự thay đổi cuối cùng sẽ xảy ra. Bạn có thể tự mình thực hiện chuyển đổi thủ công ngay bây giờ.

Chỉ cần điều hướng trong Chrome đến

chrome://settings/security, sau đó cuộn xuống và gạt thanh chuyển đổi cho Luôn sử dụng kết nối bảo mật (Always use secure connections). Trong những trường hợp hiếm hoi bạn thấy kết nối http, trước tiên bạn sẽ thấy màn hình cảnh báo về việc thiếu https. Nếu bạn tiếp tục, trang sẽ tải và bạn sẽ thấy cảnh báo lỗi quyền riêng tư quen thuộc, vốn vẫn yêu cầu bạn nhấp vài lần trước khi bạn thấy trang web.