À partir de janvier 2017, le navigateur Google Chrome dans sa version 56 va indiquer de manière explicite qu'un site HTTP transmettant des mots de passe ou des informations de cartes de paiement n'est pas sécurisé.
C'est une modification par rapport à la situation actuelle où des icônes spécifiques dans la barre d'addresse indiquent si une connexion a été établie de manière sécurisée avec un site mais c'est un marquage neutre sinon :
Un billet de blog de l'équipe de sécurité Chrome laisse cependant entendre qu'il s'agira d'une première étape avant d'étiqueter tous les sites HTTP comme non sûrs. L'étape suivante avant généralisation sera dans le cadre d'une navigation en mode privé.
Indirectement, cette stigmatisation des sites HTTP devrait doper l'intérêt pour une initiative comme Let's Encrypt ayant pour objectif un chiffrement du Web par défaut et qui propose des certificats gratuits.
Dans son rapport de transparence, Google consacre une partie au HTTPS. Parmi une liste des 100 sites considérés comme les plus populaires et représentant près de 25 % du trafic mondial (sites Google exclus), plus de 70 % d'entre eux ne s'appuient pas sur une connexion HTTPS par défaut et avec une implémentation moderne de TLS (version 1.2).
