A partir de Chrome 68, Google Chrome etiqueta todos los sitios web que no son HTTPS como «No seguros». Nada más ha cambiado, los sitios web HTTP son tan seguros como siempre lo han sido, pero Google está dando un empujón a toda la web hacia conexiones seguras y cifradas.
En el futuro, Google incluso planea eliminar la palabra «Seguro» de la barra de direcciones. Todos los sitios web deberían ser seguros de forma predeterminada, después de todo.
Cómo funcionan los sitios web HTTPS «seguros»
Cuando visite un sitio web que utiliza cifrado HTTPS , verá el familiar icono de candado verde y la palabra «Seguro» en la barra de direcciones.
Incluso si ingresa contraseñas, proporciona números de tarjetas de crédito o recibe datos financieros confidenciales a través de la conexión, el cifrado garantiza que nadie pueda espiar lo que se envía o alterar los paquetes de datos mientras viajan entre su dispositivo y el servidor del sitio web.
Esto ocurre porque el sitio web está configurado para utilizar un cifrado SSL seguro. Su navegador web utiliza el protocolo HTTP para conectarse a sitios web tradicionales sin cifrar, pero utiliza HTTPS (literalmente, HTTP con SSL) cuando se conecta a sitios web seguros. Los propietarios de sitios web deben configurar HTTPS antes de que funcione en sus sitios web.
HTTPS también brinda protección contra personas malintencionadas que se hacen pasar por un sitio web. Por ejemplo, si está en un punto de acceso Wi-Fi público y se conecta a Google.com, los servidores de Google proporcionarán un certificado de seguridad que solo es válido para Google.com. Si Google solo estuviera usando HTTP sin cifrar, no habría forma de saber si estaba conectado al Google.com real o a un sitio impostor diseñado para engañarlo y robar su contraseña. Por ejemplo, un punto de acceso Wi-Fi malicioso podría redirigir a las personas a este tipo de sitios web impostores mientras están conectados a la red Wi-Fi pública.
(Técnicamente, esto no verifica la identidad tan bien como los certificados de validación extendida (EV) . Sin embargo, ¡es mejor que nada!)
HTTPS también ofrece otras ventajas. Con HTTPS, nadie puede ver la ruta completa de las páginas web que visita. Solo pueden ver la dirección del sitio web al que se está conectando. Por lo tanto, si estuviera leyendo sobre una afección médica en una página como example.com/medical_condition, incluso su proveedor de servicios de Internet solo podría ver que está conectado a example.com, no a qué afección médica está leyendo. . Si visita Wikipedia, su ISP y cualquier otra persona solo podrán ver que está leyendo Wikipedia, no lo que está leyendo.
Podría esperar que HTTPS sea más lento que HTTP, pero estaría equivocado. Los desarrolladores han estado trabajando en una nueva tecnología como HTTP / 2 para acelerar su navegación web, pero HTTP / 2 solo está permitido en conexiones HTTPS. Esto hace que HTTPS sea más rápido que HTTP.
Por qué los sitios web «no son seguros» si no están encriptados
HTTP tradicional se está volviendo largo. Por eso, en Chrome 68, verá un mensaje «No seguro» en la barra de direcciones mientras visita un sitio HTTP no cifrado. Anteriormente, Chrome solo mostraba una «i» informativa en un círculo. Si hace clic en el texto «No seguro», Chrome dirá «Su conexión a este sitio no es segura».
Chrome dice que la conexión no es segura porque no hay cifrado para proteger la conexión. Todo se envía a través de la conexión en texto sin formato, lo que significa que es vulnerable a espionaje y manipulación. Si ingresa información privada como contraseña o información de pago en un sitio web de este tipo, alguien podría espiarlo mientras viaja por Internet.
Las personas también pueden ver los datos que le envía el sitio web. Por lo tanto, incluso si solo está navegando por la web, los espías pueden ver exactamente qué páginas web está mirando. Su proveedor de servicios de Internet también sabría exactamente qué páginas web está viendo y podría vender esa información para utilizarla en la orientación de anuncios. Otras personas en el Wi-Fi público de la cafetería también podrían ver lo que estás mirando.
Un sitio web no cifrado también es vulnerable a la manipulación. Si alguien está sentado entre usted y el sitio web, podría modificar los datos que le envía el sitio web o modificar los datos que envía al sitio web, ejecutando un ataque de intermediario. Por ejemplo, esto podría ocurrir cuando está utilizando un punto de acceso Wi-Fi público. El operador del hotspot podría espiar su navegación y capturar datos personales o modificar el contenido de la página web antes de que llegue a usted. Por ejemplo, alguien podría insertar enlaces de descarga de malware en una página de descarga legítima si esa página de descarga se envió a través de HTTP en lugar de HTTPS. Incluso podrían crear un sitio web falso de impostor que pretenda ser un sitio web legítimo; si el sitio web legítimo no usa HTTPS, no habrá forma de notar que estás conectado a uno falso y no al real.
¿Por qué Google hizo este cambio?
Google y otras empresas web, incluida Mozilla , han estado llevando a cabo una campaña a largo plazo para mover la web de HTTP a HTTPS. HTTP ahora se considera una tecnología obsoleta que los sitios web no deberían usar.
Originalmente, solo unos pocos sitios web usaban HTTPS. Su banco y otros sitios web sensibles usarían HTTPS, y sería redirigido a una página HTTPS mientras inicia sesión en sitios web con una contraseña e ingresa su número de tarjeta de crédito. Pero eso fue todo.
En aquel entonces, HTTPS costaba algo de dinero para que los propietarios de sitios web lo implementaran, y las conexiones HTTPS seguras eran más lentas que las conexiones HTTP. La mayoría de los sitios web solo usaban HTTP, pero eso permitía espiar y manipular la conexión. Esto hizo que el uso de puntos de acceso Wi-Fi públicos fuera riesgoso.
Para proporcionar privacidad, seguridad y verificación de identidad, Google y otros querían mover la web hacia HTTPS. Lo han hecho de muchas maneras: HTTPS ahora es incluso más rápido que HTTP gracias a las nuevas tecnologías, y los propietarios de sitios web pueden obtener certificados SSL gratuitos para cifrar sus sitios web de la organización sin fines de lucro Let’s Encrypt . Google prefiere los sitios web que utilizan HTTPS y los promociona en los resultados de búsqueda de Google.
El 75% de los sitios web visitados en Chrome en Windows ahora usan HTTPS, según el informe de transparencia de Google . Ahora es el momento de activar el interruptor y comenzar a advertir a los usuarios de sitios web HTTP.
Nada ha cambiado, HTTP todavía tiene los mismos problemas de siempre. Pero suficientes sitios web se han trasladado a HTTPS y es hora de advertir a los usuarios sobre HTTP y alentar a los propietarios de sitios web a dejar de arrastrar los pies. El cambio a HTTPS hará que la web sea más rápida al tiempo que mejora la seguridad y la privacidad. También hace que los puntos de acceso Wi-Fi públicos sean más seguros.
