Las próximas versiones del navegador de Google se centrarán en resaltar la falta de seguridad de las páginas web HTTP y dejarán de marcar los sitios HTTPS como seguros en su barra de direcciones. Será a partir de septiembre, con Chrome 69, cuando la etiqueta "Es seguro" desaparecerá.
Según explican en una publicación del blog de Chromium, el uso del protocolo seguro de transferencia de hipertexto en la web ha mejorado a medida que han evolucionado los indicadores de seguridad de Chrome. Es por eso que los usuarios deben esperar que una web, por defecto, sea segura. Y como eso debe ser la normalidad, solo deberían recibir avisos cuando haya problemas.
Google ya reveló a principios de año que todos los sitios HTTP serán marcados como "no seguros" a partir de julio, con Chrome 68. Cuando haya que introducir datos privados, como contraseñas, tarjetas bancarias y otra información sensible, la etiqueta de advertencia aparecerá en color rojo para prevenir a los usuarios.
A largo plazo, además, la idea es que una página web HTTPS no muestre en la barra de direcciones de Chrome ni el icono del candado.
"No seguro" igual a advertencia roja
La responsable de Chrome Security, Emily Schechter, ha recordado que a partir de octubre la versión 70 de Chrome comenzará a mostrar la advertencia roja "no segura" cuando los usuarios introduzcan datos en páginas HTTP. Anteriormente consideraban que el uso de este protocolo era demasiado alto como para marcar todas las páginas HTTP así.
Como sabemos, HTTPS es una versión más segura del protocolo HTTP utilizado en la red para conectar a los usuarios a los sitios web. Mediante una conexión segura los datos que envía el usuario a una web se mantienen más protegidos y se reducen los riesgos frente a diferentes tipos de amenazas.
No obstante, la seguridad del HTTPS puede incrementarse y el principal rival de Chrome, Firefox, llevando un tiempo buscando elevarla intentando forzar el estándar de seguridad llamado secure contexts (contextos seguros) iniciado por Google en 2014.
Falta por ver si, al menos al principio, la eliminación de la etiqueta verde "Es seguro" tiene alguna afectación en el comportamiento de los usuarios que hasta ahora se habían acostumbrado a verla y comprenderla como sinónima de seguridad.
Según datos de la propia Google proporcionados en febrero, el 68 % del tráfico generado en Chrome tanto en Android como en Windows tenía lugar en páginas con protocolo HTTPS. En los sistemas operativos Chrome OS y macOS esa cifra era todavía mayor, produciéndose el 78 % del tráfico en páginas HTTPS. Asimismo, aseguraban que 81 de las 100 webs más populares ya usaban HTTPS
En Genbeta | HTTPS para combatir la censura: así lo ha hecho Wikipedia
Ver 7 comentarios
7 comentarios
Usuario desactivado
Sí que es seguro en el sentido que por un lado el servidor de la web a la que nos conectamos nos proporciona un certificado que se utilizará para encriptar la información entre nosotros y dicho servidor (en realidad no es 100% correcto ya que se utiliza para intercambiar una clave simétrica aleatoria que es la que realmente sí se utilizará para encriptar la información), así que dicha información sólo será entendible por el servidor de la web y por el navegador (cualquier sistema que la interceptara no podría descifrarla).
Com bien decís, el certificado en sí sólo encripta la información, pero no garantiza que ese certificado pertenezca a la web a la que creemos estar conectándonos (si estamos siendo víctimas de un ataque phishing / man-in-the-middle).
Sin embargo, los navegadores antes de dar por bueno el certificado que nos manda el servidor durante el handshake de la conexión, lo verifica, y esta acción se hace a través de la cadena de certificación. La cadena de certificación está compuesta por una serie de eslabones/certificados en los que el último eslabón es el propio certificado en sí y el resto son certificados llamados CA (que pertenecen a empresas que se dedican justamente a dar por buenos certificados finales). De todos esos certificados CA, el primero de todos es el certificado raíz (o root en inglés), y es un certificado que no se intercambia durante el handshake, tiene que existir ya en el sistema operativo o el navegador. Si nuestro sistema no tiene el certificado raíz para validar la cadena de un certificado de un servidor al que nos intentamos conectar, el navegador abortará la conexión (por muy cifrada que ésta fuera); los navegadores avisan al usuario de que la cadena no puedo ser validada, y algunos de estos navegadores dan la posibilidad al usuario de, pese a ello, seguir con la conexión (algo que en webs donde hay que introducir datos personales, especialmente nombres de usuario/passwords, no debería hacerse nunca).
Sí que es cierto que si alguna de las empresas CA de la cadena fuera muy laxa en sus protocolos de comprobar que un certificado que un hacker les mandara para que lo firmaran, pues entonces ese certificado tendría una cadena de validación válida y engañaría al navegador, pero ahí es donde entra la confianza en esas empresas certificadoras. De llegarse a dar el caso de que un hacker ha conseguido engañar una empresa CA, ha conseguido hacerse pasar por una entidad bancaria y ha robado dinero a clientes del banco, dicha empresa no sólo perdería su reputación y estaría acabada, es que tendría responsabilidades legales.
Qué haga luego un servidor web con la información que nosotros le hayamos pasado ya no es responsabilidad del protocolo https (la responsabilidad del protocolo es sólo verificar que la información viaja encriptada y que el servidor proporcione una cadena de validación del certificado que sea verificable). Si proporcionamos una información a Facebook a través de una conexión https verificada y luego Facebook la regala al primero que se la pide por $$$$ es un problema totalmente diferente que nada tiene que ver con el tema de "conexión segura".
nuttyx
Me preocupa bastante más cómo distinguirán los sitios con certificados EV y los "normales" que siguen procesos de certificación de la identidad completamente distintos si omiten "el candadito verde"