16 de julio de 2018

El proyecto Chromium: marcando HTTP como no seguro

Secure HTTPS
HTTPS es importante porque proporciona seguridad crítica e integridad de datos para tus sitios web y para la información personal de tus usuarios. Además, es un requisito para varias funciones del nuevo navegador, en especial las requeridas para el uso de progressive web apps.


Para la ejecución de nuevas y potentes funciones de las plataformas web, como la toma de fotografías o grabación de audio, o la habilitación de experiencias de apps sin conexión con procesos de trabajo de servicio, se requieren permisos explícitos de los usuarios. Además, muchas otras API más antiguas se están actualizando para exigir permiso de ejecución; por ejemplo, la API de ubicación geográfica.

HTTPS es un componente clave de los flujos de trabajo de permisos, tanto para estas funciones nuevas como para las API actualizadas.

Chromium es el proyecto de código abierto de navegador web del que Google Chrome obtiene su código de fuente.

A continuación se muestra la propuesta original para marcar HTTP como no seguro.

Cronología


Enero de 2017 (fase 1)


Entra en vigencia: enero de 2017 (Chrome 56)
Anuncio: avanzar hacia una web más segura (8 de septiembre de 2016)

En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:

  • La página contiene un campo de contraseña.
  • El usuario interactúa con un campo de tarjeta de crédito.


Password and credit card form fields


Octubre de 2017 (fase 2)


Entra en vigencia: octubre de 2017 (Chrome 62)
Anuncio: próximos pasos para una mayor seguridad de conexión (27 de abril de 2017)

En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:

  • El usuario está navegando en el modo incógnito de Chrome.
  • La página contiene un campo de contraseña.
  • El usuario interactúa con cualquier campo de entrada.


Form and incognito http bad verbose


Julio de 2018 (fase 3)


Entra en vigencia: julio de 2018 (Chrome 68)
Anuncio: una web segura llegó para quedarse (8 de febrero de 2018)

En esta fase, todas las páginas HTTP se marcarán con "No seguro".

Marking http as non secure


Septiembre de 2018


Entra en vigencia: septiembre de 2018 (Chrome 69)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)

En esta fase, las páginas seguras se marcarán de forma más neutral en lugar de afirmativamente seguras.

Http bad september 2018


Octubre de 2018


Entra en vigencia: octubre de 2018 (Chrome 70)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)

En esta fase, las páginas HTTP se marcarán como afirmativamente "No seguro" usando color rojo y el icono no seguro en la barra de direcciones si el usuario interactúa con cualquier campo de entrada.

Treatment of HTTP Pages with User Input


Previsiones


Todavía no hay una fecha objetivo para el estado final, pero se tiene la intención de marcar todas las páginas HTTP como afirmativamente no seguras a largo plazo (al igual que otras páginas no seguras, como páginas con broken HTTPS).

Eventual treatment of all HTTP pages in Chrome


Preguntas frecuentes


¿Esto inhabilitará los sitios HTTP simples?


No. Los sitios HTTP continuarán funcionando; actualmente no existen planes para bloquearlos en Chrome. Todo lo que cambiará es el (los) indicador (es) de seguridad.

¿Los certificados de seguridad son costosos o difíciles de obtener?


Actualmente, algunos proveedores ofrecen certificados gratuitos o muy baratos. El proyecto Let's Encrypt facilita la obtención de certificados gratuitos (incluso para muchos subdominios a la vez, o con comodines).

¿Los certificados son difíciles de configurar?


Let's Encrypt ha desarrollado un protocolo simple de código abierto para configurar certificados de servidor.

SSLMate actualmente ofrece un servicio similar por una tarifa.

Los servicios como Cloudflare actualmente ofrecen certificados SSL/TLS gratis para los sitios alojados a través de su plataforma, y los proveedores de hosting realizarán procesos de automatización para todos los usuarios una vez que los certificados gratuitos sean comunes.

Para aquellos que no tengan un dominio personalizado, hay varias opciones de alojamiento que admiten HTTPS de forma gratuita, por ejemplo, GitHub Pages, servicios de blog, Google Sites y Google App Engine.

A partir de 2018, muchos proveedores de alojamiento incluso admiten activar HTTPS con una sola casilla de verificación.

¿SSL/TLS es lento?


No necesariamente. Una vez que habilite y optimice su pila TLS, también estará en camino de implementar HTTP/2.
A diferencia de HTTP/1.1, HTTP/2 requiere solo una conexión por origen, lo que significa menos sockets, búferes de memoria, handshakes de TLS, y más.

Más información: https://istlsfastyet.com/


Consulte también las preguntas frecuentes acerca del protocolo HTTPS en el blog de Mozilla:

Deprecating Non-Secure HTTP - Frequently Asked Questions


4 comentarios:

  1. ¿Qué significa exactamente no seguro? ¿Significa que el sitio web es sólo HTTP?

    ResponderEliminar
  2. "No seguro" en Chrome significa que el sitio no usa protocolo HTTPS.
    Al usar HTTPS con un certificado válido, Google Chrome marcará el sitio como "Seguro".

    No obstante, un sitio web con un certificado válido puede no ser seguro si también sirve contenido no seguro como imágenes HTTP.
    El contenido mixto (tener elementos HTTP en páginas HTTPS) se considera no seguro.

    Gracias por tu comentario.
    Un saludo!

    ResponderEliminar
  3. ¿Y crees que las cookies tienen algo que ver con el sitio no seguro?

    ResponderEliminar
  4. Cuando el sitio web no usa HTTPS,
    las cookies se envían sin restricciones y si contienen datos confidenciales como tokens,
    podría tener consecuencias de acceso no autorizado a información o servicios como el secuestro de sesión, por ejemplo.

    ResponderEliminar