Pasar a un estándar HTTPS más seguro comienza eliminando HTTP

La seguridad siempre va a ser una preocupación cuando se trata de Internet y la comunicación digital. El intercambio de datos cruciales a través de Internet ya no se realiza en HTTP. En 1989, cuando Tim Berners-Lee inició la desarrollo de HTTP, el protocolo se desarrolló principalmente para intercambiar datos fácilmente. Pero a medida que los usuarios comenzaron a enviar datos importantes y confidenciales a través de Internet, la necesidad de una conexión segura fue inevitable.

Por lo tanto, HTTPS entró en acción. Hoy en día, las empresas digitales de todo el mundo se están uniendo para hacer de HTTPS el protocolo de facto para Internet. Este es un gran paso. Y llevará tiempo que la mayor parte de Internet pase a HTTPS.

Pero, la pregunta es: ¿es realmente necesario hacerlo? ¿Qué tan seguro es HTTPS hoy? Y, ¿qué acciones se están tomando para que esto suceda? Bueno, averigüémoslo.

Matar HTTP y promover HTTPS

Bueno, si está pensando en lo inseguro que es HTTP y qué es HTTPS, entonces debería dirigirse a nuestro

guía sobre navegación web segura. Si ya sabe cuáles son estos términos, permítanos sorprenderlo al afirmar que una de las empresas más ansiosas por acabar con HTTP es Google. Eso anunciado recientemente que comenzará a marcar los sitios web HTTP como No es seguro con una señal de advertencia en la barra de direcciones de Chrome. Actualmente, simplemente muestra el mensaje La conexión no es privada.

A partir de enero de 2017 (Chrome 56), marcaremos las páginas HTTP que recopilan contraseñas o tarjetas de crédito como no seguras. –Emily Schechter

Este no es el único paso dado por Google para promover HTTPS. En 2014, Google anunció que HTTPS se considerará como una señal de clasificación para clasificar sitios web en su motor de búsqueda. Y desde entonces, muchos editores web se han pasado a HTTPS. Sin embargo, su efecto en las clasificaciones ha sido muy pequeño. Incluso los sitios de Blogspot (los .com) en la plataforma de Blogger se han movido a HTTPS.

Además de Google, incluso Apple se está inclinando hacia él al exigir a los desarrolladores de iOS que fuercen la conexión HTTPS para sus aplicaciones de iOS. Además, los servicios de artículos instantáneos de Facebook usan HTTPS de forma predeterminada, lo que hace que las páginas del editor sean seguras incluso si dependen de HTTP. Tal promoción y presión de las grandes empresas de tecnología seguramente traerá no todo, sino al menos la mitad de Internet a través de HTTPS.

De acuerdo, eso es suficiente de promoción y empuje. Después de todo, lo que quieren los usuarios es seguridad. Pero, ¿realmente obtienes esa seguridad con HTTPS?

¿Qué tan seguro es HTTPS hoy?

No es tan seguro. Aquí está un artículo detallado de EFF sobre por qué no lo es. No importa cuántas defensas construya la organización, siempre hay una manera de entrar. No es totalmente seguro.

HTTPS solo hace que sea más difícil para los piratas informáticos piratear.

El problema es que muy poca gente sabe leer y escribir sobre esto. Las dos cosas básicas que hace HTTPS es cifrar datos y validar el sitio web para ver si realmente es la página web que solicitó. Esta validación se realiza mediante Certificados. El certificado del sitio web se compara con más de 600 certificados de autoridad en los que su navegador web puede confiar. Entonces, un hacker potencial tiene que encontrar un certificado entre estos a través del cual pueda ingresar.

Otro defecto es que incluso si estás en una conexión encriptada, hay posibilidades de que un atacante intercepte su tráfico web. Estos son los llamados ataques Man-in-the-Middle. Un atacante puede crear un certificado de servidor falso para su validación. Pero los navegadores muestran una advertencia de que es un certificado que no es de confianza.

si golpeas el Procede de todas maneras botón, entonces su dispositivo es vulnerable a un ataque Man-in-the-Middle. El atacante puede interceptar su tráfico y puede ver las contraseñas que se envían a través de la red. Entonces, piensa antes de golpear Procede de todas maneras y no comparta ninguna credencial privada con dichos sitios.

HTTPS puede tener sus propios defectos, pero sigue siendo seguro. Un cifrado fuerte para una conexión HTTPS podría ser imposible de descifrar para un atacante.

Cambiar a HTTPS

Algunos sitios simplemente se están moviendo a HTTPS por el bien del SEO. Los blogs y los sitios estáticos generalmente no necesitan tener una conexión HTTPS. Los usuarios no comparten ninguna de sus credenciales privadas con ellos. Sin embargo, Emily Schechter (gerente de producto del equipo de seguridad de Google Chrome) no está de acuerdo con esto. Aquí está su charla en Progressive Web App Summit, donde desacredita algunos mitos sobre HTTPS.

Pasarse a HTTPS hoy no es costoso. De hecho, puedes conseguir Certificados SSL gratis. Lo que realmente podría dificultar que alguien cambie a HTTPS es la pérdida de rendimiento, las clasificaciones de búsqueda y la incompatibilidad con el contenido de terceros. Sin embargo, como explica Emily Schechter en el video anterior, recuperará su clasificación de búsqueda muy pronto y algunas optimizaciones ayudarán a que su sitio recupere el rendimiento normal.

Además, algunas funciones que Google Chrome y otros navegadores brindan a sitios web como el Notificaciones push y Etiquetado de ubicación geográfica requieren conexión HTTPS por defecto. Los desarrolladores no tendrán acceso a estas funciones sin HTTPS. En el futuro, se asegurarán más características detrás de su pared.

Va a ser una Web más segura

Es seguro que dentro de unos años, HTTPS se volverá omnipresente y una seguridad mínima para todos los sitios web. Para los usuarios, ¡es un placer! Pero, si es propietario de un sitio, ¿se mudará a HTTPS? que piensas de eso? Háganos saber en los comentarios o envíe tweets en @guidintech.

LEA TAMBIÉN:Tus aplicaciones pueden estar espiándote y esto es lo que puedes hacer para evitarlo

Última actualización el 03 febrero, 2022

El artículo anterior puede contener enlaces de afiliados que ayudan a respaldar a Guiding Tech. Sin embargo, no afecta nuestra integridad editorial. El contenido sigue siendo imparcial y auténtico.