A partire da ottobre 2026, Google Chrome attiverà di default l’opzione “Always Use Secure Connections”. Tutti i siti pubblici dovranno caricarsi tramite HTTPS, altrimenti verrà mostrato un avviso esplicito di pericolo.
Fino a oggi, Chrome mostrava avvisi solo per certificati HTTPS mal configurati o scaduti, ma non per i siti che usavano ancora il vecchio protocollo HTTP in chiaro. Da ottobre 2026, chiunque cercherà di visitare un sito non protetto vedrà comparire il messaggio “Questo sito non supporta una connessione sicura”. L’avviso spiegherà che i dati inviati o ricevuti potrebbero essere intercettati o modificati da terzi.
Google ha già introdotto questa funzionalità nel 2022, ma solo per chi la attivava manualmente. Oggi, con oltre il 95% del traffico web che viaggia già in HTTPS, l’azienda ritiene che si debba rendere questa protezione universale. Non è solo una scelta tecnica, ma una risposta al crescente numero di minacce online, come il furto di credenziali, l’iniezione di malware o il phishing.
La transizione avverrà in due fasi; prima sarà testata su chi ha attivato Enhanced Safe Browsing (da aprile 2026); quindi, sarà estesa a tutti. Chiunque potrà comunque disattivare l’avviso, ma dovrà farlo esplicitamente nelle impostazioni del browser.
Perché Google spinge così forte su HTTPS
Negli ultimi dieci anni, il web ha visto un’adozione massiccia di HTTPS; passando da una quota marginale nel 2015 (30-45% del traffico in Chrome) a una quasi totalità oggi (95-99%). Questo cambiamento è stato reso possibile grazie a iniziative come Let’s Encrypt, che ha reso i certificati SSL gratuiti e facili da installare. Tuttavia, una piccola ma rilevante fetta di siti pubblici continua a usare HTTP, esponendo i visitatori a rischi reali.
Le connessioni non crittografate permettono a chiunque sulla stessa rete di leggere o alterare i dati scambiati. Sebbene i siti privati come quelli interni a una rete aziendale o domestica rimangano un’area grigia, sono comunque meno a rischio; questo perché sono meno esposti ad attacchi esterni.
I veri bersagli sono i siti pubblici che ancora non si sono aggiornati. Spesso, questi portali non mostrano avvisi perché reindirizzano automaticamente da HTTP a HTTPS. Tuttavia, se il reindirizzamento fallisce o non esiste, il visitatore non ha modo di sapere che sta navigando in chiaro. Con l’attivazione forzata di HTTPS, Chrome protegge i dati personali e spinge i proprietari di siti a modernizzare le proprie infrastrutture. Se il tuo sito non è sicuro, i visitatori lo vedranno subito e potrebbero andarsene.
Cosa cambia per chi gestisce un sito web
Per chi possiede o gestisce un sito mantenerlo in HTTP non è più sostenibile. Anche se tecnicamente possibile, un portale non protetto rischia di perdere traffico, credibilità e posizioni nei motori di ricerca. Google ha già penalizzato in passato i siti HTTP nei risultati di ricerca, ma ora il problema diventa visibile a tutti, in tempo reale.
Passare a HTTPS è semplice. Ci sono servizi, come Let’s Encrypt, che offrono certificati validi gratuitamente, e la maggior parte degli hosting moderni li installa automaticamente. Il vero ostacolo rimane quello culturale. Gli amministratori di piccoli siti ritardano l’aggiornamento perché pensano di non gestire “dati sensibili”. Tuttavia, anche un semplice modulo di contatto o un link condiviso può diventare un vettore di attacco se non protetto.
Google ha chiarito che non bloccherà completamente l’accesso ai siti HTTP, ma richiederà un’azione esplicita per proseguire.
HTTPS di default in Chrome: conclusioni
L’attivazione di default di HTTPS in Chrome non risolve tutti i problemi di sicurezza online. Un sito HTTPS può comunque ospitare malware, tracciare in modo invasivo o raccogliere dati senza consenso. Tuttavia, più il web è uniformemente protetto, meno spazio rimane per attacchi banali ma efficaci, come il man-in-the-middle.
Google non agisce da solo, anche altri browser come Firefox e Safari spingono da anni in questa direzione. La differenza è che Chrome, con oltre il 60% della quota di mercato, ha il potere di accelerare il cambiamento su scala globale. Alla fine, questa decisione non è solo tecnologica, ma soprattutto educativa; mostrare un avviso chiaro aiuta le persone a capire che la sicurezza rappresenta la base.
