En Enero de 2017 Chrome lanzará su versión 56 y con ella va a declarar insegura a casi toda Internet. La razón de por qué, tiene sus fundamentos.
Cada vez más dependemos de los servicios de Internet. Y con casi todo conectado, es importante estar seguros de que los datos que enviamos a través de la red no son vistos por nadie más.
Smartphones, tablets, laptops, y hasta los electrodomésticos de IoT usan una conexión de red para comunicarse con servicios que hacen nuestra vida más fácil. El lado oscuro de esta maravilla es que los hackers y delincuentes saben que esto es así, e invierten bastante tiempo averiguando como hacerse con nuestra información.
Afortunadamente existen protocolos de cifrado y aseguramiento del tráfico en Internet, y aunque pudieses pensar que la mayoría del tráfico está cifrado, la verdad es que no es así.
El HTTP es un protocolo que tiene funcionando desde que el Internet apareció. El viejo protocolo de transferencia de hipertexto era útil en su momento cuando no se requería mayores beneficios de seguridad, pero los tiempos cambian y hoy en día los requerimientos son otros.
Transacciones bancarias, compras, pagos de suscripciones. Estos son solo algunas de las actividades que realizamos casi a diario en la red, y gracias a la capa de seguridad proporcionada por HTTPS, nuestros datos van seguros y encriptados desde nuestro ordenador, hasta los servidores de las compañías que proveen los servicios. O por lo menos esto es lo que se espera.
La verdad es que, aunque muchos servicios ya usan HTTPS, gran parte de Internet todavía usa el viejo HTTP, el cual no garantiza que los datos lleguen a su destino inalterados.
Es por esto que Google Chrome empezará a notificar como no seguros los sitios que no usa HTTPS. Según informan desde su blog, hasta la fecha estaban presentando un icono neutro a la hora de mostrar sitios HTTP, pero a partir de Enero de 2017, empezarán a etiquetar como no seguros los sitios que no usen HTTPS.
«La gente dice que no podemos hacer que la mitad de la web parezca aterradora, porque los usuarios tendrán miedo de ella, pero para nosotros, es un problema de tratar de ser honestos con los usuarios. Sin HTTPS, un usuario o servicio web no puede tener ninguna expectativa de que nada en una página no haya sido manipulado o escuchado. Y eso es una locura».
Parisa Tabriz, Jefe de seguridad de Google Chrome
Esto será un proceso progresivo, en el cual marcarán como no seguro los sitios que usen datos de tarjetas de crédito o tengan formularios de login, para luego empezar a marcar como no seguras las páginas HTTP que se visualicen en modo incógnito. Eventualmente, todas las páginas que no usen HTTPS por defecto serán marcadas como no seguras.
Las páginas con HTTPS se muestran en verde, las HTTP en gris y las que tienen errores de certificado, se muestran en rojo.
Esto puede suponer un trabajo extra para los webmasters, los cuales tendrán que migrar a HTTPS antes de que sus sitios empiecen a ser marcados como no seguros. Finalmente, nadie quiere que su sitio aparezca en rojo en la barra de direcciones del navegador, pues la gente evitará visitarlos. Sin embargo, como mencionamos, va a ser un proceso paulatino en el que se irán disminuyendo las excepciones, pero posiblemente para el tercer trimestre del 2017, ya todo el mundo debería tener su sitio bajo HTTPS si no quiere que se genere una alerta, por lo menos en Chrome.
Eventualmente, las páginas sin HTTPS serán marcadas en rojo
Desde Google, explican que la empresa apunta a que las páginas web puedan usar más datos sensibles de tus equipos, como la localización o acceso a datos off-line, pero si vamos a dejar que las aplicaciones web lleguen a estos niveles, lo más importante es que el acceso a estos datos sea seguro. No quieres que un tercero tenga acceso a estos datos, y con HTTP, un ataque de hombre en el medio (MiTM) es demasiado sencillo como para correr el riesgo.
¿Qué opinas? ¿Es arriesgado este paso? ¿O más bien es algo necesario para que estemos cada vez más conectados?
Fuente: Google Security Blog
