slide1

Alt1040. Noticias acerca de Internet, diseño, música, cine, opiniones, weblogs y medios

Es uno de los weblogs de tecnología más seguidos de la blogosfera hispana.

slide2

Bitelia. Blog de software, internet y servicios web

Software y aplicaciones para mejorar tu vida, guías de uso, trucos, listas, noticias y todo sobre tecnología.

slide3

Xataka. Publicación de noticias sobre gadgets y tecnología.

Últimas tecnologías en electrónica de consumo y novedades tecnológicas en móviles, tablets, informática, etc.

slide4

Wwwhatsnew. Aplicaciones, marketing y noticias en la web.

Servicios que os pueden ser útiles para dibujar, gestionar tareas, hacer amigos, encontrar restaurantes...

slide5

Fayerwayer. Discusiones y opiniones de lo ultimo en tecnología y gadgets

Con secciones dedicadas a Internet, Software o Redes Sociales es un referente a nivel de tecnología en español.

16 de julio de 2018

El proyecto Chromium: marcando HTTP como no seguro

Secure HTTPS
HTTPS es importante porque proporciona seguridad crítica e integridad de datos para tus sitios web y para la información personal de tus usuarios. Además, es un requisito para varias funciones del nuevo navegador, en especial las requeridas para el uso de progressive web apps.


Para la ejecución de nuevas y potentes funciones de las plataformas web, como la toma de fotografías o grabación de audio, o la habilitación de experiencias de apps sin conexión con procesos de trabajo de servicio, se requieren permisos explícitos de los usuarios. Además, muchas otras API más antiguas se están actualizando para exigir permiso de ejecución; por ejemplo, la API de ubicación geográfica.

HTTPS es un componente clave de los flujos de trabajo de permisos, tanto para estas funciones nuevas como para las API actualizadas.

Chromium es el proyecto de código abierto de navegador web del que Google Chrome obtiene su código de fuente.

A continuación se muestra la propuesta original para marcar HTTP como no seguro.

Cronología


Enero de 2017 (fase 1)


Entra en vigencia: enero de 2017 (Chrome 56)
Anuncio: avanzar hacia una web más segura (8 de septiembre de 2016)

En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:

  • La página contiene un campo de contraseña.
  • El usuario interactúa con un campo de tarjeta de crédito.


Password and credit card form fields


Octubre de 2017 (fase 2)


Entra en vigencia: octubre de 2017 (Chrome 62)
Anuncio: próximos pasos para una mayor seguridad de conexión (27 de abril de 2017)

En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:

  • El usuario está navegando en el modo incógnito de Chrome.
  • La página contiene un campo de contraseña.
  • El usuario interactúa con cualquier campo de entrada.


Form and incognito http bad verbose


Julio de 2018 (fase 3)


Entra en vigencia: julio de 2018 (Chrome 68)
Anuncio: una web segura llegó para quedarse (8 de febrero de 2018)

En esta fase, todas las páginas HTTP se marcarán con "No seguro".

Marking http as non secure


Septiembre de 2018


Entra en vigencia: septiembre de 2018 (Chrome 69)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)

En esta fase, las páginas seguras se marcarán de forma más neutral en lugar de afirmativamente seguras.

Http bad september 2018


Octubre de 2018


Entra en vigencia: octubre de 2018 (Chrome 70)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)

En esta fase, las páginas HTTP se marcarán como afirmativamente "No seguro" usando color rojo y el icono no seguro en la barra de direcciones si el usuario interactúa con cualquier campo de entrada.

Treatment of HTTP Pages with User Input


Previsiones


Todavía no hay una fecha objetivo para el estado final, pero se tiene la intención de marcar todas las páginas HTTP como afirmativamente no seguras a largo plazo (al igual que otras páginas no seguras, como páginas con broken HTTPS).

Eventual treatment of all HTTP pages in Chrome


Preguntas frecuentes


¿Esto inhabilitará los sitios HTTP simples?


No. Los sitios HTTP continuarán funcionando; actualmente no existen planes para bloquearlos en Chrome. Todo lo que cambiará es el (los) indicador (es) de seguridad.

¿Los certificados de seguridad son costosos o difíciles de obtener?


Actualmente, algunos proveedores ofrecen certificados gratuitos o muy baratos. El proyecto Let's Encrypt facilita la obtención de certificados gratuitos (incluso para muchos subdominios a la vez, o con comodines).

¿Los certificados son difíciles de configurar?


Let's Encrypt ha desarrollado un protocolo simple de código abierto para configurar certificados de servidor.

SSLMate actualmente ofrece un servicio similar por una tarifa.

Los servicios como Cloudflare actualmente ofrecen certificados SSL/TLS gratis para los sitios alojados a través de su plataforma, y los proveedores de hosting realizarán procesos de automatización para todos los usuarios una vez que los certificados gratuitos sean comunes.

Para aquellos que no tengan un dominio personalizado, hay varias opciones de alojamiento que admiten HTTPS de forma gratuita, por ejemplo, GitHub Pages, servicios de blog, Google Sites y Google App Engine.

A partir de 2018, muchos proveedores de alojamiento incluso admiten activar HTTPS con una sola casilla de verificación.

¿SSL/TLS es lento?


No necesariamente. Una vez que habilite y optimice su pila TLS, también estará en camino de implementar HTTP/2.
A diferencia de HTTP/1.1, HTTP/2 requiere solo una conexión por origen, lo que significa menos sockets, búferes de memoria, handshakes de TLS, y más.

Más información: https://istlsfastyet.com/


Consulte también las preguntas frecuentes acerca del protocolo HTTPS en el blog de Mozilla:

Deprecating Non-Secure HTTP - Frequently Asked Questions