Đã đến lúc HTTPS phải trở thành mặc định

• Bắt đầu từ Chrome 154 phát hành vào tháng 10 năm 2026, thiết lập mặc định của trình duyệt sẽ chuyển sang “Always Use Secure Connections”
• Thiết lập này sẽ hiển thị cảnh báo và yêu cầu quyền cho người dùng khi truy cập các trang công khai không có HTTPS
• Tỷ lệ áp dụng HTTPS đã tăng từ 30~45% vào năm 2015 lên 95~99% vào năm 2020, nhưng sau đó rơi vào trạng thái chững lại
• Chrome dự định mặc định áp dụng chế độ ép buộc HTTPS chỉ với các trang công khai, nhằm giảm tối đa bất tiện cho người dùng đồng thời nâng cao mức độ bảo mật
• Thay đổi lần này nhằm tăng cường độ an toàn của toàn bộ web và giảm thiểu những rủi ro HTTP còn sót lại

Thay đổi thiết lập mặc định của Chrome

• Từ Chrome 154 phát hành vào tháng 10 năm 2026, thiết lập “Always Use Secure Connections” sẽ được bật mặc định
  • Khi lần đầu truy cập một trang công khai không có HTTPS, người dùng sẽ thấy cảnh báo và yêu cầu cấp quyền
  • Trên Chrome 147 (tháng 4 năm 2026), tính năng này dự kiến sẽ được áp dụng trước cho hơn 1 tỷ người dùng sử dụng Enhanced Safe Browsing
• Người dùng có thể tắt thiết lập này nếu muốn

Tình hình phổ cập HTTPS

• Google đã theo dõi tỷ lệ sử dụng HTTPS trong Chrome thông qua Báo cáo minh bạch HTTPS trong hơn 10 năm
  • Tăng từ 30~45% vào năm 2015 lên 95~99% vào năm 2020
  • Sau đó đà tăng trưởng đã chững lại
• Nhờ tỷ lệ áp dụng cao, giờ đây có thể cân nhắc các biện pháp mạnh hơn đối với lưu lượng HTTP còn lại

Cân bằng giữa an toàn người dùng và việc giảm thiểu cảnh báo

• Dù 95% tổng lưu lượng đã là HTTPS, 5% kết nối HTTP còn lại vẫn là yếu tố rủi ro
• Chrome sẽ ngăn các cảnh báo lặp lại đối với cùng một trang, qua đó giảm bất tiện cho người dùng
  • Với các trang không an toàn được truy cập thường xuyên, cảnh báo sẽ không hiển thị lặp lại
• Các trang nội bộ (ví dụ: 192.168.0.1, intranet, v.v.) vẫn thường dùng HTTP vì khó cấp chứng chỉ
  • Các trang này có mức độ rủi ro thấp hơn, nên cảnh báo sẽ chỉ giới hạn với các trang công khai
• Theo kết quả thử nghiệm, trong chế độ chỉ áp dụng cho trang công khai, tỷ lệ phát sinh cảnh báo dưới 3%, và phần lớn người dùng chỉ gặp cảnh báo không quá 1 lần mỗi tuần

Tình hình sử dụng HTTP và các biện pháp cải thiện

• Một phần đáng kể của lưu lượng HTTP phát sinh từ các yêu cầu ban đầu được chuyển hướng sang HTTPS
• Trang cấu hình thiết bị trong mạng cục bộ thường dùng HTTP do vấn đề chứng chỉ
• Chrome đang đưa vào Local Network Access Permission
  • Ngay cả trên trang HTTPS, vẫn có thể truy cập mạng cục bộ sau khi người dùng đồng ý
  • Qua đó mở rộng khả năng chuyển sang HTTPS cho các trang cấu hình thiết bị cục bộ

Hướng dẫn cho nhà phát triển và quản trị viên IT

• Google khuyến nghị các nhà phát triển website và quản trị viên IT bật thiết lập “Always Use Secure Connections” ngay từ bây giờ để kiểm tra những trang có thể bị ảnh hưởng
• Trong môi trường quản trị Chrome (doanh nghiệp, tổ chức giáo dục, v.v.), có thể tham khảo tài liệu hướng dẫn chính thức để xem
  • Điều kiện hiển thị cảnh báo
  • Cách giảm thiểu ảnh hưởng
  • Cách thiết lập chính sách theo từng tổ chức

Kế hoạch sắp tới

• Google cũng đặt mục tiêu tiếp tục giảm rào cản triển khai HTTPS cho các trang trong mạng cục bộ