La web se está moviendo hacia la encriptación predeterminada. La mayoría, si no es que todos, nuestros sitios web favoritos ya utilizan HTTPS para cifrar la comunicación entre ellos y su navegador.
En la más está entrada, se explica de qué modo Google Chrome está cambiando la experiencia de los usuarios con el navegador para indicar cuando un usuario se encuentra con un sitio inseguro (que no es HTTPS). El equipo de desarrollo de Chrome anunció recientemente que le daría seguimiento a este asunto. A continuación, se analizan las implicaciones.
Marque esta fecha en su agenda: 24 de julio.
En febrero de 2018, los desarrolladores de Chrome anunciaron que Chrome 68 identificaría a todos los sitios HTTP como “No seguros”. En una semana, cuando se lance Chrome 68, el 24 de julio, podemos prever que los usuarios vean “No seguro” en la barra de dirección cuando naveguen a “cualquier” página habilitada con HTTP.
¿Qué se puede esperar después?
Ahora que la mayoría de los sitios web (populares) están habilitados con HTTPS, las alertas que recibe un usuario se han revisado.
Al inicio de julio de 2018, Google tenía ya HTTPS en 94% de sus servicios. Con Maps, News, Gmail y Drive bajo la mira, están intentando lograr encriptar el 100% de sus servicios.
Los desarrolladores de Chrome descubrieron que será más útil advertir a un usuario cuando esté realizando una acción que no sea segura y no emitir los mensajes de alerta cuando una página sea segura.
La siguiente tabla muestra cómo cambiarán los indicadores de seguridad del navegador Google Chrome:
En el blog Chromium de Google se puede encontrar el calendario completo que están buscando seguir.
¿Cuáles son las implicaciones?
En este artículo se describe como Google Crome estaba ajustando sus indicadores describe como Crome estaba ajustando sus indicadores de seguridad destaqué cómo se iba a convencer a los usuarios de dejar de utilizar páginas HTTP a favor de las páginas HTTPS.
Este, es el objetivo de Google, al igual que alentar a los webmasters a migrar a HTTPS. Si bien Chrome 68 etiquetará todas las páginas HTTP como “No seguras”, será la eventual funcionalidad del navegador de Google la que marque todas las páginas HTTP en rojo como “No seguras”, al mismo tiempo que se reducen los indicadores de seguridad de los sitios HTTPS, lo que cumplirá con sus objetivos. La anomalía de una página HTTP será bastante evidente para los usuarios finales. Este cambio en el comportamiento y preferencias de los usuarios será importante.
A medida que las organizaciones vean un aumento de la proporción del tráfico HTTPS respecto a HTTP después de un aumento en la adopción del primero, les resultará difícil identificar el riesgo potencial que plantea el tráfico encriptado.
Los datos transmitidos a través de canales seguros o las conexiones hechas a los servidores de comando y control seguirán sin ser inspeccionados debido a que las empresas no adoptan la tecnología para hacer dichas valoraciones. No lograr que dicho material sea detectado por el radar es algo inaceptable.
Acá se pueden consultar los calendarios de liberación y los lanzamientos en los blogs de Chrome.
Debemos mantenernos al pendiente de las actualizaciones a medida que la web se convierte en una web segura de forma predeterminada.
Columna invitada por Carl Leonard, Analista Principal de Seguridad en Forcepoint.