El paso para matar HTTP y avanzar hacia HTTPS más seguro

La seguridad siempre será una preocupación cuando se trata de Internet y la comunicación digital. El intercambio de datos cruciales a través de Internet ya no se realiza en HTTP. En 1989, cuando Tim Berners-Lee inició el desarrollo de HTTP, el protocolo se desarrolló principalmente para intercambiar datos fácilmente. Pero a medida que los usuarios comenzaron a enviar datos importantes y confidenciales a través de Internet, la necesidad de una conexión segura era inevitable.




Un paso hacia una web más segura | Foto: Sashkin / Shutterstock

HTTPS se puso así en acción. Hoy, las compañías digitales de todo el mundo se unen para hacer de HTTPS el protocolo de facto para Internet. Este es un gran paso. Y tomará tiempo para que la mayor parte de Internet se traslade a HTTPS.

Pero, la pregunta es: ¿es realmente necesario hacerlo? ¿Qué tan seguro es HTTPS hoy? Y, ¿qué acciones se están tomando para que esto suceda? Bueno, vamos a averiguarlo.







Matar HTTP y promover HTTPS

Bueno, si estás pensando cuán inseguro es HTTP y qué es HTTPS, entonces debes dirigirte a nuestro guía sobre navegación web segura. Si ya sabe cuáles son estos términos, permítanos sorprenderlo al afirmar que una de las empresas más ansiosas por matar HTTP es Google. Eso anunciado recientemente que comenzará a marcar sitios web HTTP como No es segurocon una señal de advertencia en la barra de direcciones de Chrome. Actualmente, simplemente muestra el mensajeLa conexión no es privada..

A partir de enero de 2017 (Chrome 56), marcaremos las páginas HTTP que recopilan contraseñas o tarjetas de crédito como no seguras. - Emily Schechter

Este no es el único paso dado por Google para promover HTTPS. En 2014, Google anunció que HTTPS se considerará como una señal de clasificación para clasificar los sitios web en su motor de búsqueda. Y desde entonces, muchos editores web se han mudado a HTTPS. Sin embargo, su efecto en las clasificaciones ha sido muy poco. Incluso los sitios de Blogspot (los .com) en la plataforma Blogger se han trasladado a HTTPS.

Imagen: Blog de seguridad de Google

Además de Google, incluso Apple se inclina hacia él al exigir a los desarrolladores de iOS que fuercen la conexión HTTPS para sus aplicaciones de iOS. Además, los servicios de artículos instantáneos de Facebook usan HTTPS de forma predeterminada, lo que hace que las páginas del editor sean seguras incluso si dependen de HTTP. Tal promoción y presión de las grandes compañías tecnológicas seguramente traerá no todo, sino al menos la mitad de Internet a HTTPS.

Bien, eso es suficiente de promoción y empuje. Después de todo, lo que los usuarios quieren es seguridad. ¿Pero realmente obtienes esa seguridad con HTTPS?





¿Qué tan seguro es HTTPS hoy?

No es tan seguro. Aquí está un artículo detallado por EFF sobre por qué no lo es. No importa cuántas defensas construya la organización, siempre hay una manera de entrar. No es totalmente seguro.

HTTPS solo hace que sea más difícil para los piratas informáticos piratear.

El problema es que muy pocas personas saben leer y escribir sobre esto. Las dos cosas básicas que hace HTTPS es que encripta los datos y valida el sitio web para ver si realmente es la página web que solicitó. Esta validación se realiza mediante certificados. El certificado del sitio web se compara con más de 600 certificados de autoridad en los que su navegador web puede confiar. Entonces, un hacker potencial tiene que encontrar un certificado entre estos a través del cual pueda entrar.

Otra falla es que incluso si está en una conexión encriptada, hay posibilidades de que un atacante intercepte su tráfico web. Estos son los llamados ataques Man-in-the-Middle. Un atacante puede crear un certificado de servidor falso para su validación. Pero los navegadores muestran una advertencia de que se trata de un certificado en el que no se confía.

Si golpeas el Procede de todas manerasbotón, entonces su dispositivo es vulnerable a un ataque Man-in-the-Middle. El atacante puede interceptar su tráfico y puede ver las contraseñas que se envían a través de la red. Entonces, piensa antes de golpear Procede de todas manerasy no comparta ninguna credencial privada con dichos sitios.

HTTPS puede tener sus propios defectos, pero aún es seguro. Un cifrado fuerte para una conexión HTTPS podría ser indescifrable para un atacante.





Cambiar a HTTPS

Algunos sitios simplemente se están moviendo a HTTPS por el bien del SEO. Los blogs y los sitios estáticos generalmente no necesitan tener una conexión HTTPS. Los usuarios no comparten ninguna de sus credenciales privadas con ellos. Sin embargo, Emily Schechter (gerente de producto del equipo de seguridad de Google Chrome) no está de acuerdo con esto. Aquí está su charla en Progressive Web App Summit, donde desmiente algunos mitos sobre HTTPS.

Mudarse a HTTPS hoy no es costoso. De hecho, puedes obtener Certificados SSL gratis. Lo que en realidad podría dificultar que cualquiera cambie a HTTPS es la pérdida de rendimiento, las clasificaciones de búsqueda y la incompatibilidad con contenido de terceros. Sin embargo, como explicó Emily Schechter en el video anterior, recuperará su clasificación de búsqueda muy pronto y algunas optimizaciones ayudarán a que su sitio recupere el rendimiento normal.

Además, algunas características que Google Chrome y otros navegadores proporcionan a sitios web como el Notificaciones push y Etiquetado de geolocalización requiere conexión HTTPS por defecto. Los desarrolladores no tendrán acceso a estas funciones sin HTTPS. En el futuro, se asegurarán más funciones detrás de su muro.





Va a ser una web más segura

Es seguro que dentro de unos años HTTPS se convertirá en omnipresente y será una seguridad mínima para todos los sitios web. Para los usuarios, ¡es un yay! Pero, si usted es propietario de un sitio, ¿se mudará a HTTPS? que piensas de eso? Háganos saber en los comentarios o envíe tweets en@guidintech.

LEA TAMBIÉN: Tus aplicaciones pueden estar espiándote y esto es lo que puedes hacer para evitarlo