O Chrome 68 passa a exibir páginas HTTP como "Not secure". A mudança parece pequena na interface, mas é grande na governança da web: o navegador deixa de tratar HTTPS como sinal positivo excepcional e passa a apresentar HTTP como condição insegura para qualquer página, não apenas para telas de senha ou pagamento.1

O Google já vinha preparando essa virada havia anos. Em fevereiro de 2018, a empresa afirmou que a web segura havia se tornado predominante em tráfego Chrome e anunciou a etapa seguinte de marcação mais explícita de conexões sem criptografia.2 A decisão condensa uma tese técnica e cultural: confidencialidade e integridade em trânsito não são luxo de bancos; são expectativa básica de navegação.

HTTP vira dívida de confiança

HTTP aberto permite que intermediários observem ou alterem tráfego. Em redes corporativas, Wi-Fi público, provedores e ambientes comprometidos, isso amplia risco de coleta de dados, injeção de conteúdo e sequestro de sessão. Mesmo páginas "só institucionais" podem carregar formulários, scripts, cookies, links de autenticação e conteúdo que influencia decisões do usuário.

Ao marcar todo HTTP como inseguro, o Chrome altera o incentivo. Até esta versão, muitos sites avaliavam HTTPS como melhoria futura, dependente de projeto específico. Com o rótulo visível, a ausência de TLS passa a aparecer diretamente para o visitante. Segurança deixa de ser discussão invisível de infraestrutura e vira experiência de produto.

O efeito chega a SEO, conversão, suporte e reputação. Um usuário vendo alerta no navegador tende a desconfiar do site, mesmo que o conteúdo exibido não contenha dados sensíveis. A marca perde controle da primeira impressão para um rótulo do browser.

HTTPS exige operação, não só certificado

Migrar para HTTPS não é apenas instalar certificado. É revisar redirecionamentos, mixed content, cookies com atributo Secure, HSTS, integrações de terceiros, cache, CDN, APIs internas, monitoramento de expiração e automação de renovação. Em 2018, a popularização de certificados gratuitos e automação reduz o custo, mas não elimina responsabilidade operacional.

O ganho é mais amplo que criptografia. HTTPS também habilita uma série de APIs modernas de navegador e cria uma base mais confiável para autenticação, pagamentos, service workers e experiências progressivas. A web moderna passa a se fechar para contextos inseguros porque recursos poderosos exigem origem protegida.

O erro comum é tratar o projeto como campanha pontual. Certificado expira, domínio novo nasce, subdomínio antigo aparece, proxy antigo quebra cadeia. O controle precisa entrar no pipeline de plataforma.

O navegador redesenha o padrão mínimo

A mudança do Chrome expõe o poder dos navegadores como reguladores práticos da web. Nenhuma lei obriga todos os sites a abandonar HTTP neste momento, mas a interface do produto redistribui incentivos. Quando o navegador mais usado muda a semântica visual da barra de endereços, equipes de marketing, TI e segurança passam a falar a mesma língua.

A lição prática é direta: segurança efetiva cresce quando vira padrão, não exceção. HTTPS não resolve phishing, vulnerabilidade de aplicação ou abuso de identidade. Mas sem HTTPS, todo o restante começa em terreno frágil.

O Chrome 68 não inaugura a web segura. Ele coloca a web insegura em uma posição cada vez mais difícil de defender.

  1. Google, "A milestone for Chrome security: marking HTTP as not secure", 24 julho 2018.
  2. Google Online Security Blog, "A secure web is here to stay", 8 fevereiro 2018.