Los navegadores web continúan impulsando el protocolo HTTPS en todas partes

Certificado SSL

Google y Mozilla han anunciado recientemente varios cambios en la forma en que mostrarán los sitios web HTTPS en Chrome y Firefox, respectivamente. La mayoría de estos cambios son parte del impulso del que los navegadores han estado hablando durante algunos años, alentando a todos los sitios web a pasar de HTTP a HTTPS.

Aquí hay una descripción general y rápida de cuatro cambios notables que están haciendo los navegadores, y lo que los webmasters y los usuarios de Internet necesitan saber.

1. Chrome fuerza HTTPS o bloquea el «Contenido mixto»

Durante años, el «contenido mixto» ha sido un dolor de cabeza para los desarrolladores web. Después de cambiar un sitio a HTTPS, a menudo había imágenes, scripts u otros archivos que aún se cargaban a través de HTTP provocando errores de seguridad de «contenido mixto» en el navegador del usuario así:

Como Google lo explica:

“Las páginas HTTPS comúnmente sufren un problema llamado contenido mixto, donde los recursos secundarios en la página se cargan de forma insegura vía http://. Los navegadores bloquean muchos tipos de contenido mixto de forma predeterminada, como scripts e iframes, pero las imágenes, el audio y el video aún pueden cargarse, lo que amenaza la privacidad y seguridad de los usuarios. Por ejemplo, un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixtos. La carga de contenido mixto también conduce a una confusa UX de seguridad del navegador, donde la página se presenta como no segura ni insegura, sino en algún punto intermedio «.

A partir de la versión 79 de Chrome (programada para su lanzamiento en diciembre de 2019), Google implementará gradualmente un plan para cambiar la forma en que se maneja el contenido mixto:

  • Versión 79: los usuarios podrán bloquear o desbloquear manualmente el contenido mixto.
  • Versión 80: el audio y el video mezclados se actualizarán automáticamente a HTTPS; si no se puede acceder a ellos a través de HTTPS, se bloquearán. Las imágenes mixtas se cargarán pero mostrarán una advertencia de «No seguro» en la barra de direcciones.
  • Versión 81: las imágenes mixtas se actualizarán automáticamente a HTTPS, o se bloquearán si no se pueden cargar a través de HTTPS.

En última instancia, esto no cambia lo que los webmasters deben hacer: que todos los recursos (incluidas imágenes, video y audio) se carguen a través de HTTPS al 100%.

2. Firefox marca todas las URL HTTP como no seguras

Siguiendo los pasos de Chrome, Firefox ahora está marcando todas las páginas web HTTP como «No seguras». En los últimos años, Firefox ha comenzado a advertir a los usuarios si una página HTTP contenía un inicio de sesión u otro formulario, pero ahora Firefox mostrará la advertencia en todas las páginas HTTP.

A partir de la versión 70 de Firefox (programada para su lanzamiento en octubre), los usuarios verán una advertencia como esta en todas las páginas HTTP:

Firefox error ssl

Si hace clic en el candado, verá un mensaje como este:

Firefox error ssl

Desde allí, puede hacer clic para obtener más detalles para ver esto:

Firefox error ssl

3. Chrome oculta el protocolo (http:// o https://) en la URL

Google recientemente realizó un cambio en la forma en que se muestran las URL en la barra de direcciones, ocultando http:// o https:// en la URL. A primera vista, este cambio puede parecer que Chrome está reduciendo la importancia del HTTPS, pero en realidad es todo lo contrario. Este cambio es parte del impulso de Google para que HTTPS sea el protocolo predeterminado para toda la web.

La investigación ha demostrado que cuando se trata de la seguridad de Internet, los indicadores positivos son valiosos, pero los usuarios prestan más atención a los indicadores negativos. Es por eso que Google ha implementado un plan para hacer que HTTPS sea el predeterminado y mostrar advertencias para las URL HTTP. Este cambio es simplemente el siguiente paso en ese plan: El protocolo HTTPS es lo normal (tan normal que no se muestra) pero el protocolo HTTP desencadena un error.

Las páginas web HTTPS ahora se muestran así:

SSL seguro en Google Chrome

Mientras que un sitio sin SSL se mostrará asi:

Sitio no seguro en Google Chrome

4. Chrome y Firefox cambian la visualización de los Certificados EV

A diferencia de los cambios anteriores, este no se trata de hacer que más sitios cambien a HTTPS, es un cambio en la forma en que se muestran los sitios con certificados SSL EV. Chrome y Firefox están moviendo el contenido EV (nombre verificado de la compañía) desde la barra de direcciones a la pantalla de detalles del certificado. Los usuarios ahora podrán ver los detalles de la compañía haciendo clic en el candado:

Nuevo formato para SSL EV

Puede ver el Certificado EV como un pasaporte: no lo lleva puesto en la camisa, pero está ahí para cuando se necesita una verificación de identidad. Si un usuario no está seguro acerca de un sitio web, puede verificar rápidamente los detalles EV para ver qué entidad legal posee y opera el sitio web.

Además de permitir a los clientes verificar en cualquier momento los detalles de la empresa propietaria de un sitio web, otras entidades utilizan los detalles del certificado EV para la verificación de identidad:

  • El software antivirus utiliza los detalles del certificado EV para distinguir los sitios web acreditados de los sitios web de phishing.
  • Los gobiernos (especialmente en Europa) exigen cada vez más a las empresas que realizan transacciones en línea proporcionen información de identidad verificada a través de un certificado SSL EV

Para el registro, creemos que los navegadores deben hacer que la información de identidad verificada, como los detalles de EV, sea más prominente, no menos. A menos que/hasta que se implemente una mejor solución, los EV SSL siguen siendo la mejor solución para que los usuarios verifiquen la entidad legal que opera un sitio web.

Dicho esto, estos ajustes no cambian el propósito fundamental que cumple un certificado EV SSL: una forma para que los usuarios de Internet, el software de seguridad y los gobiernos verifiquen la entidad legal que opera un sitio web.

Con la explosión del crimen en línea, los reguladores esperan cada vez más que las compañías presenten identidades verificadas en línea; creemos que los Certificados SSL EV serán una parte importante de Internet en los próximos años.

Para concluir, ninguno de estos ajustes cambia el juego para los usuarios o los propietarios de sitios web. La mayoría son cambios incrementales que gradualmente forzarán a que todo sitio use el protocolo HTTPS; en general, eso es algo bueno para los usuarios y para los propietarios de sitios web e Internet.

Related Articles