Los buscadores contra las webs inseguras sin https

Los buscadores contra las webs inseguras sin https

Profile picture for user futurvia
FuturVía

Llevamos tiempo sugiriendo en webs con formularios y en tiendas Online donde se recogen datos, la implementación de los certificados seguros HTTPS que encriptan la información que se transmite entre el usuario y la web. La primera razón que siempre hemos esgrimido es la privacidad de los datos que facilitan sus clientes, seriedad de la empresa y protección de datos.

Sin embargo, en los últimos meses estos avisos van a mucho más poniéndose mucho más serio pues los principales buscadores van a empezar a etiquetar como INSEGURAS páginas que no tengan los certificados https.

Esto de cara a webs sin https es una imagen muy desfavorable que de entrada va a generar la desconfianza de casi todos los usuarios el aviso de los navegadores como web insegura.

¿Qué opinamos en FuturVía?

Como uno de los tres primeros proveedores de internet en España (verano de 1996) el planteamiento de esta nueva tendencia lo que va a implicar si bien en un inicio es un incremento de los costes a las webs “serias” pues les van a “obligar” a adquirir y renovar un certificado https homologado año tras año, sí que va a generar un incremento de la confianza de los usuarios en la navegación y transacciones electrónicas pues detrás de un certificado seguro https hay mucho más que una encriptación.

Cualquiera hoy en día puede crear una web, plagiar el diseño de otra para vender u ofrecer algo ficticio, sin embargo, un certificado https por norma implica una identificación del sitio a implementar el mismo y la toma de datos que evitan el anonimato para quien está detrás siendo un respaldo más a un comercio serio y seguro.

La implementación de un certificado https no solo es la compra del mismo, sino la adaptación de la web a este lo que implica un trabajo adicional que variara en función de cómo se haya programado la web desde el principio, por lo que es importantísimo no solo adquirir un certificado validado sino una empresa seria que implemente correctamente el mismo en nuestra web (trabajo se hace al inicio únicamente).

¿Qué dice Google?

Según Chrome va a declarar medio de internet inseguro pues es importante cifrar los datos en Internet para que nadie pueda verlos. Para eso es fundamental la adopción del HTTPS, que no es más que HTTP normal sobre SSL/TLS. Estos SSL/TLS o Secure Sockets Layer/Transmission Layer Security son dos protocolos especialmente creados para enviar paquetes cifrados a través de la red.

El pasado mes de septiembre, Google anunció que a partir del 2017 empezaría a etiquetar como inseguras algunas de las páginas que no utilizasen HTTPS. Parisa Tabriz, jefa de seguridad de Chrome, ha explicado en una entrevista en Wired por qué han decidido tomar esta dirección tan agresiva y por qué para ella es casi algo personal.

Google ha decidido invertir su estrategia de advertencias, y en vez de avisar únicamente de cuándo una web está cifrada con HTTPS, va a empezar a avisar cuando una página no lo hace, y lo va a hacer etiquetando como inseguras las páginas sin HTTPS. El aviso aparecerá en la barra de direcciones para que se vea bien.

El primer paso se dará en enero del 2017 con el lanzamiento de Chrome 56, que etiquetará como inseguras las páginas que gestionen contraseñas o tarjetas de crédito que no utilicen HTTPS. Más adelante se ampliarán los avisos etiquetando a las páginas con descargas o las que estén en HTTP simple cuando se utilice el modo incógnito.

Inversión de los avisos declarando webs inseguras en lugar de solo las seguras para que la web parezca aterradora.

Certificados de seguridad SSL

"La gente dice que no podemos hacer que la mitad de la web parezca aterradora, porque los usuarios tendrán miedo de ella", dice Tabriz. "Pero para nosotros, es un problema de tratar de ser honestos con los usuarios. Sin HTTPS, un usuario o servicio web no puede tener ninguna expectativa de que nada en un página no haya sido manipulado o escuchado. Y eso es una locura".

Para Google también es una cuestión práctica. Para competir con las apps móviles y los permisos que se les da, Google quiere que las páginas web sean capaces de profundizar en los recursos de nuestros PCs y obtener información sensible como la ubicación. "No querrías que un ataque de intermediario (man-in-the-middle) fuese capaz de acceder a esas cosas".

Para Parisa Tabriz la lucha por implantar el HTTPS es personal. En 2011 descubrió que gobiernos como el iraní, país de procedencia de su padre, estaban espiando a sus ciudadanos mediante falsos certificados de autenticación en HTTP. "Para vosotros, un certificado falso significa una contraseña o información personal robada", explica. "Para mí y miles de otros iraníes, esto puede conducir a la cárcel, a la tortura o a la pena de muerte".

Por lo tanto, con ella al frente y siendo conscientes de que en algunos países el utilizar conexiones HTTPS puede salvar vidas, Google parece haber decidido ser agresivo en su estrategia. "En nuestros momentos de impaciencia, sólo queremos marcar todo como inseguro", dice la jefa de seguridad. "Una gran fracción de la web no es HTTPS, y eso es embarazoso para mí. Y no va a resolver por sí mismo".

En la empresa del buscador son conscientes de que meter tanta presión a las páginas que aún no han dado el salto al HTTP va a despertar las iras de muchos. Pero esperan que gracias a ello pueda acelerarse aún más su adopción.

Página segura con Futurvia

 

Profile picture for user futurvia
FuturVía

Añadir nuevo comentario

FUTURVIA tratará tus datos con la finalidad de gestionar su comentario en este sitio web. No comunicaremos tus datos a terceros. La base legal para el tratamiento de los datos de contacto obtenidos a través de la presente página web será el consentimiento expreso prestado por el propio interesado. Puede ejercer sus derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición, como le informamos en nuestra Política de Privacidad y Aviso Legal.