Google, web güvenliği standardı olan HTTPS protokolüne geçiş sürecinde bir “duraklama” yaşandığını fark etmiş gibi görünüyor. Bu duraklamaya son vermek ve kullanıcıları çevrimiçi tehditlere karşı daha iyi korumak amacıyla Chrome, herkese açık tüm sitelerde varsayılan olarak güvenli bağlantı kullanımını zorunlu hale getirecek yeni bir dönemi başlatıyor.

Ekim 2026’da yayınlanacak olan Chrome 154 sürümüyle birlikte, tüm kullanıcılar için “Her Zaman Güvenli Bağlantılar Kullan” ayarı otomatik olarak etkinleştirilecek. Bu, web tarama deneyimini temelden değiştirecek ve Google’ın yıllardır süregelen güvenlik odaklı politikasını bir adım ileriye taşıyacak.

Bu zorunlu geçiş süreci, bazı kullanıcılar için daha erken başlayacak. Chrome’da Gelişmiş Güvenli Tarama korumalarını aktif eden kullanıcılar için bu ayar, 2026 Nisan ayında piyasaya sürülecek olan Chrome 147 sürümüyle varsayılan hale gelecek.

Bu ayar etkinleştirildiğinde Chrome, şifrelenmemiş HTTP bağlantısı kullanan herkese açık bir web sitesine ilk kez erişilmeden önce kullanıcıdan izin isteyecek. Böylece kullanıcılar, potansiyel riskli bir bağlantıya girmeden önce bilgilendirilmiş olacaklar.

Google, güvenli bağlantı taahhüdünü uzun süredir adım adım hayata geçiriyordu. 2018’de güvensiz HTTP siteleri konusunda kullanıcıları uyarmaya başlayan Chrome, Nisan 2021’den itibaren ise varsayılan olarak HTTPS bağlantısını tercih etmeye başlamış ve bir yıl sonra bu “Her Zaman Güvenli Bağlantılar” özelliğini isteğe bağlı bir seçenek olarak sunmuştu.

Google’a göre, günümüzde Chrome üzerindeki gezintilerin büyük bir kısmı (%95 ila %99’u) zaten HTTPS üzerinden gerçekleşiyor olsa da, kalan küçük HTTP dilimi ciddi bir güvenlik açığı oluşturmaya devam ediyor.

HTTPS kullanılmadığında ne oluyor?

Chrome ekibi, blog yazısında bu riskin sadece teorik olmadığını açıkça ifade etti. HTTPS kullanılmadığında, kötü niyetli bir saldırganın bağlantıyı kolayca ele geçirip, kullanıcıyı kötü amaçlı yazılımlar veya sosyal mühendislik saldırılarıyla hedef alabileceğini vurguluyorlar. Saldırganların yalnızca tek bir güvensiz gezintiye ihtiyacı olduğu belirtiliyor. Daha da önemlisi, birçok HTTP sitesi doğrudan HTTPS sitelerine yönlendirme yaptığı için bu düz metin bağlantıları kullanıcılar tarafından fark edilemeyebiliyor, bu da saldırılar için zemin hazırlıyor.

Bu katı güvenlik kuralının dışında kalan bazı özel durumlar da yok değil. Yerel IP adresleri ve şirket içi intranetler gibi özel sitelere yapılan HTTP bağlantıları şimdilik varlığını sürdürecek. Bunun nedeni, özel ağlardaki bir sitenin HTTPS sertifikası edinmesinin teknik olarak karmaşık olması. Örneğin, birçok yönlendirici, yönetici paneli erişimi için aynı yerel IP adresini (örneğin “192.168.0.1”) kullanır. Ancak Google, bu tür özel sitelere yapılan HTTP gezintilerinin, genel web’e göre doğası gereği daha düşük risk taşıdığını belirtiyor. Zira özel ağlarda HTTP üzerinden gerçekleşebilecek saldırıların vektörü, yerel ağ ile sınırlı kalıyor.