Phương thức bảo mật mã hóa dữ liệu HTTPS của Google Chrome sắp thay đổi lớn?

Phần lớn các trang web ngày nay đã sử dụng kết nối HTTPS để mã hóa dữ liệu khi truyền tải, giúp cải thiện đáng kể quyền riêng tư và bảo mật so với giao thức HTTP cũ. Giờ đây, Google đang lên kế hoạch bước tiếp theo cho Chrome: cảnh báo người dùng khi họ truy cập vào những trang web không an toàn (HTTP).

Tính năng “Always Use Secure Connections” (Luôn sử dụng kết nối an toàn) được Google giới thiệu lần đầu vào năm 2022. Khi bật, Chrome sẽ tự động cố gắng kết nối qua HTTPS, và nếu trang web không hỗ trợ giao thức này, trình duyệt sẽ hiển thị cảnh báo yêu cầu người dùng xác nhận trước khi tiếp tục.

Bắt đầu từ tháng 10 năm 2026, với phiên bản Chrome 154, tính năng này sẽ được bật mặc định cho tất cả người dùng.

Khi thay đổi này được áp dụng (hoặc nếu bạn bật thủ công ngay bây giờ), Chrome sẽ hiển thị cảnh báo bất cứ khi nào bạn truy cập một trang không hỗ trợ HTTPS. Bạn vẫn có thể bỏ qua để tiếp tục truy cập, nhưng trình duyệt sẽ cảnh báo rằng dữ liệu của bạn có thể bị kẻ tấn công xem hoặc thay đổi. Trong trường hợp cần truy cập, Google khuyến nghị chỉ nên thực hiện trên mạng tin cậy, chẳng hạn như Wi-Fi tại nhà.

Trước khi HTTPS trở nên phổ biến, việc theo dõi và can thiệp vào lưu lượng web từng rất dễ dàng với các nhà cung cấp dịch vụ Internet, mạng Wi-Fi công cộng hoặc tin tặc. Ví dụ, cách đây khoảng 10 năm, các nhà mạng như AT&T hay Comcast từng chèn quảng cáo vào các trang web mà người dùng truy cập.

Khi truy cập một trang có HTTPS, toàn bộ dữ liệu sẽ được mã hóa, giúp ngăn chặn việc theo dõi chi tiết hay chỉnh sửa nội dung web. Nhà mạng hoặc người có quyền truy cập mạng vẫn có thể biết bạn đang truy cập tên miền nào, nhưng không thể xem nội dung bên trong.

Hiện tại, Chrome trên Windows, Android, Mac và ChromeOS đã tải 95–99% trang web qua HTTPS. Riêng Chrome trên Linux chỉ đạt khoảng 85%, do người dùng Linux thường chạy dịch vụ web tự lưu trữ (self-hosted) – những hệ thống này ít khi cài đặt chứng chỉ HTTPS. Tuy nhiên, Google cho biết nếu chỉ tính các trang web công khai, tỷ lệ dùng HTTPS trên Linux đã đạt khoảng 97%.

Google cũng đưa ra một số ngoại lệ để tránh cảnh báo quá mức. Cụ thể, người dùng chỉ thấy cảnh báo khi truy cập trang HTTP lần đầu, hoặc sau một thời gian dài không ghé lại. Ngoài ra, các trang nội bộ hoặc riêng tư – như giao diện quản lý router hoặc ổ NAS tại nhà – sẽ không bị cảnh báo. Nếu muốn, bạn vẫn có thể bật cảnh báo cho cả các trang nội bộ trong phần cài đặt.

Google giải thích thêm:

Việc truy cập các trang HTTP nội bộ vẫn có rủi ro, nhưng thường ít nguy hiểm hơn các trang công khai, vì chỉ có những kẻ tấn công nằm trong cùng mạng nội bộ (như Wi-Fi gia đình hoặc mạng công ty) mới có thể khai thác được.

Tính năng cảnh báo mặc định này sẽ chính thức được triển khai vào tháng 10/2026 cùng bản cập nhật Chrome 154 trên tất cả nền tảng. Tuy nhiên, bạn có thể kích hoạt sớm ngay bây giờ bằng cách truy cập:

chrome://settings → Privacy and Security → Security → Always use secure connections.