A partir de Chrome 68, Google Chrome etiquetas todos los sitios web que no son HTTPS como “No seguros”. Nada más ha cambiado: los sitios web HTTP son tan seguros como siempre lo han sido, pero Google está dando a toda la web un empujón hacia conexiones seguras y cifradas.
En el futuro, Google incluso planea eliminar la palabra “Seguro” de la barra de direcciones. Después de todo, todos los sitios web deberían ser seguros de forma predeterminada.
Cómo funcionan los sitios web HTTPS “seguros”
Cuando visita un sitio web que utiliza cifrado HTTPS, verá el familiar icono de candado verde y la palabra “Seguro” en su barra de direcciones.
Incluso si ingresa contraseñas, proporciona números de tarjetas de crédito o recibe datos financieros confidenciales a través de la conexión, el cifrado garantiza que nadie pueda espiar lo que se envía o alterar los paquetes de datos mientras viajan entre su dispositivo y el servidor del sitio web.
Esto ocurre porque el sitio web está configurado para utilizar cifrado SSL seguro. Su navegador web utiliza el protocolo HTTP para conectarse a sitios web tradicionales no cifrados, pero utiliza HTTPS (literalmente, HTTP con SSL) cuando se conecta a sitios web seguros. Los propietarios de sitios web deben configurar HTTPS antes de que funcione en sus sitios web.
HTTPS también brinda protección contra personas malintencionadas que se hacen pasar por un sitio web. Por ejemplo, si estás en un punto de acceso Wi-Fi público y te conectas a Google.com, los servidores de Google te proporcionarán un certificado de seguridad que solo es válido para Google.com. Si Google simplemente estuviera usando HTTP sin cifrar, no habría manera de saber si usted estaba conectado al Google.com real o a un sitio impostor diseñado para engañarlo y robar su contraseña. Por ejemplo, un punto de acceso Wi-Fi malicioso podría redirigir a las personas a este tipo de sitios web impostores mientras están conectados a una red Wi-Fi pública.
(Técnicamente, esto no verifica la identidad ni los certificados de Validación extendida (EV). Sin embargo, ¡es mejor que nada!)
HTTPS también ofrece otras ventajas. Con HTTPS, nadie puede ver la ruta completa de las páginas web que visitas. Solo pueden ver la dirección del sitio web al que te estás conectando. Por lo tanto, si estuvieras leyendo sobre una condición médica en una página como ejemplo.com/medical_condition, incluso tu proveedor de servicios de Internet solo podría ver que estás conectado a ejemplo.com, no qué condición médica estás. leyendo sobre. Si estás visitando Wikipedia, tu ISP y cualquier otra persona sólo podrán ver que estás leyendo Wikipedia, no lo que estás leyendo.
Se podría esperar que HTTPS sea más lento que HTTP, pero estaría equivocado. Los desarrolladores han estado trabajando en nuevas tecnologías como HTTP/2 para acelerar su navegación web, pero HTTP/2 solo está permitido en conexiones HTTPS. Esto hace que HTTPS sea más rápido que HTTP.
Por qué los sitios web “no son seguros” si no están cifrados
El HTTP tradicional se está volviendo obsoleto. Por eso, en Chrome 68, verás un mensaje “No seguro” en la barra de direcciones mientras visitas un sitio HTTP no cifrado. Anteriormente, Chrome solo mostraba una “i” informativa en un círculo. Si hace clic en el texto “No seguro”, Chrome dirá “Su conexión a este sitio no es segura”.
Chrome dice que la conexión no es segura porque no hay cifrado para proteger la conexión. Todo se envía a través de la conexión en texto plano, lo que significa que es vulnerable a espionaje y manipulación. Si escribe información privada como contraseña o información de pago en un sitio web de este tipo, alguien podría espiarlo mientras viaja por Internet.
Las personas también pueden ver los datos que le envía el sitio web. Por lo tanto, incluso si simplemente estás navegando por la web, los espías pueden ver exactamente qué páginas web estás viendo. Su proveedor de servicios de Internet también sabría exactamente qué páginas web está viendo y podría vender esa información para utilizarla en la orientación de anuncios. Otras personas conectadas a la red Wi-Fi pública de la cafetería también podrían ver lo que estás mirando.
Un sitio web no cifrado también es vulnerable a la manipulación. Si alguien está sentado entre usted y el sitio web, podría modificar los datos que el sitio web le envía o modificar los datos que usted envía al sitio web, ejecutando un ataque de intermediario. Por ejemplo, esto podría ocurrir cuando estás usando un punto de acceso Wi-Fi público. El operador del hotspot podría espiar su navegación y capturar datos personales o modificar el contenido de la página web antes de que llegue a usted. Por ejemplo, alguien podría insertar enlaces de descarga de malware en una página de descarga legítima si esa página de descarga se envió a través de HTTP en lugar de HTTPS. Incluso podrían crear un sitio web falso que pretenda ser un sitio web legítimo; si el sitio web legítimo no usa HTTPS, no habría forma de darse cuenta de que está conectado a uno falso y no al real.
¿Por qué Google hizo este cambio?
Google y otras empresas web, incluidas Mozilla, han estado llevando a cabo una campaña a largo plazo para pasar la web de HTTP a HTTPS. HTTP ahora se considera una tecnología obsoleta que los sitios web no deberían utilizar.
Originalmente, sólo unos pocos sitios web utilizaban HTTPS. Su banco y otros sitios web confidenciales usarían HTTPS y sería redirigido a una página HTTPS mientras inicia sesión en sitios web con una contraseña e ingresa su número de tarjeta de crédito. Pero eso fue todo.
En aquel entonces, HTTPS costaba algo de dinero para que los propietarios de sitios web lo implementaran, y las conexiones HTTPS seguras eran más lentas que las conexiones HTTP. La mayoría de los sitios web solo usaban HTTP, pero eso permitía espiar y alterar la conexión. Esto hizo que el uso de puntos de acceso Wi-Fi públicos fuera riesgoso.
Para brindar privacidad, seguridad y verificación de identidad, Google y otros querían migrar la web hacia HTTPS. Lo han hecho de muchas maneras: HTTPS ahora es incluso más rápido que HTTP gracias a las nuevas tecnologías, y los propietarios de sitios web pueden obtener certificados SSL gratuitos para cifrar sus sitios web desde la organización sin fines de lucro. Vamos a cifrar. Google prefiere los sitios web que utilizan HTTPS y los promociona en los resultados de búsqueda de Google.
El 75% de los sitios web visitados en Chrome en Windows ahora utilizan HTTPS, según Informe de transparencia de Google. Ahora es el momento de activar el interruptor y comenzar a advertir a los usuarios de los sitios web HTTP.
Nada ha cambiado: HTTP todavía tiene los mismos problemas de siempre. Pero suficientes sitios web han migrado a HTTPS que es hora de advertir a los usuarios sobre HTTP y alentar a los propietarios de sitios web a que dejen de demorarse. El cambio a HTTPS hará que la web sea más rápida y al mismo tiempo mejorará la seguridad y la privacidad. También hace que los puntos de acceso Wi-Fi públicos sean más seguros.
