Si eres un usuario de Google Chrome, seguro que habrás visto en más de una ocasión un mensaje de color verde (como es en el caso de Genbeta) que te avisa de que estás en un sitio "seguro".
Eso significa que la página que estás visitando utiliza HTTPS en vez HTTP (protocolo más antiguo y sin cifrado). Seguro que también habrás visto en muchas otras ocasiones un mensaje que te avisa de que estás en una web "insegura". Prepárate para verlo más a menudo.
En 2011 Wikipedia añadía soporte para HTTPS, la versión cifrada de HTTP. Ambos protocolos se usan para transferir datos del servidor de una web a tu ordenador o tu móvil, si bien a través de la conexión cifrada tu navegador primero le pedirá al servidor que se identifique. Éste lo hará a través de una clave pública, que después usa el navegador para crear una clave cifrada de sesión. A partir de aquí, toda la información que intercambien cliente y servidor está cifrada.
Pues bien, gracias a HTTPS Wikipedia ha conseguido luchar contra la censura con mayor éxito según se publica en Motherboard. La Enciclopedia Libre se había convertido en el objetivo de diversas campañas de censura por parte de distintos gobiernos del mundo, y gracias al protocolo de conexión cifrado ha logrado paliar los efectos de las mismas.
Paso a paso, las conexiones seguras por HTTPS van ganándole terreno al HTTP clásico. Hasta ahora habíamos visto cómo empresas como Google habían sacado pecho presumiendo de su compromiso con este protocolo, pero no teníamos demasiados datos que nos ayudaran a hacernos una idea de su impacto real en Internet.
El portal Let's Encrypt de la Linux Foundation ahora trae nueva información para sacarnos de dudas. Basándose en datos obtenidos por las herramientas telemétricas de Firefox, han calculado que las webs protegidas con HTTPS han superado por primera vez el 50% del total, creciendo en un 10% con respecto al mismo mes del año pasado.
Puede que de un tiempo a esta parte hayas ido notando que, en la barra de direcciones de tu navegador, al principio de la URL y acompañadas del dibujo de un candado, aparecen las siglas HTTPS cuando entras en las webs que visitas a diario. Esto no es sino un indicativo de que tu conexión con la página está cifrada, es segura y es más difícil que alguien la intercepte.
Muchas de las webs más populares ya lo incorporan. Facebook, Google, YouTube o Twitter son sólo algunos ejemplos populares que todo el mundo conoce. Sin embargo, y teniendo en cuenta que Google está a punto de declarar inseguro medio Internet a través de Chrome, vale la pena pararse a pensar sobre qué es HTTPS y qué implica no usarlo.
Os avisábamos hace prácticamente un mes, Google quiere que Chrome impulse la transición del HTTP al más seguro HTTPS, y está dispuesto a hacerlo por las malas marcando las primeras como páginas inseguras en el navegador. El primer paso en este ambicioso camino lo dará Chrome 56, versión de la que ayer anunciaron la beta en el blog de Chromium.
De hecho, su principal y más llamativa novedad es esa, que empezará a marcar las primeras páginas HTTP como inseguras en la barra de direcciones, aunque de momento se limitará a hacerlo con las que recopilen contraseñas y tarjetas de crédito, ya que consideran que es la información más sensible que podemos dar y la primera que debe ser asegurada.
Es importante cifrar los datos en Internet para que nadie pueda verlos. Para eso es fundamental la adopción del HTTPS, que no es más que HTTP normal sobre SSL/TLS. Estos SSL/TLS o Secure Sockets Layer/Transmission Layer Security son dos protocolos especialmente creados para enviar paquetes cifrados a través de la red.
El pasado mes de septiembre, Google anunció que a partir del 2017 empezaría a etiquetar como inseguras algunas de las páginas que no utilizasen HTTPS. Parisa Tabriz, jefa de seguridad de Chrome, ha explicado en una entrevista en Wired por qué han decidido tomar esta dirección tan agresiva y por qué para ella es casi algo personal.
Desde principios de año, Google empezó a añadir en sus informes de transparencia los datos sobre la migración de sus servicios a cifrados HTTPS. Con ello, la empresa del buscador pretende demostrar cuán protegidas están las conexiones entre usuarios y los servidores de páginas como Drive, Finance, Gmail, News o Google Maps.
Anoche, Google anunció en el blog YouTube Engineering and Developers que su plataforma de vídeos en streaming pasa a incorporarse a esta lista, y que lo hace teniendo el 97% de sus conexiones cifradas con HTTPS, convirtiéndose en su tercera plataforma mejor protegida sólo detrás de Drive y Gmail.
Teniendo en cuenta que con el protocolo HTTP cualquier dato se transmite en texto plano, pasarlo sobre los protocolos SSL/TLS para cifrarlo en HTTPS se ha convertido en una solución esencial para proteger la privacidad y seguridad de los visitantes de cualquier web. Aun así, los costes y el tiempo requerido para obtener el certificado que lo implemente es un impedimento para algunas páginas.
Electronic Frontier Foundation lo saben, y por eso han publicado la primera versión beta de su propuesta para solucionar el problema: Let's Encrypt. Se trata de un asistente gratuito y automatizado que pretende hacer más accesible para los usuarios el proceso para solicitar el certificado necesario para cifrar su página con HTTPS e insertar el código pertinente en sus páginas.
El Equipo de Respuesta ante Emergencias Informáticas (CERT) norteamericano ha publicado un informe en el que se notifica una vulnerabilidad relacionada con las cookies y presente en prácticamente todos los navegadores modernos que utilizamos hoy en día, desde Chrome hasta Firefox pasando por Safari, Opera o Internet Explorer.
Según el informe, estas podrían ser utilizadas en un ataque para evitar el protocolo seguro HTTPS y acceder a la información de nuestras sesiones privadas. Lo peor de todo es que como hemos dicho ningún navegador actual tiene protección contra este tipo de ataque, por lo que estamos en peligro tanto nosotros como empresas del calibre de Google o Facebook.
Aunque durante esta semana todos los titulares se los ha llevado un Project Spartan que ha empezado a mostrar su cara incluyendo un buen repertorio de novedades, el mundo sigue girando, y Mozilla también ha querido empezar el mes con una nueva versión de su veterano Firefox, que ha venido con unas cuantas novedades debajo del brazo.
De esta manera, Firefox 37 llega a Windows, OS X y GNU/Linux incluyendo el nuevo sistema de feedbacks Heartbeat, la nueva API Media Source Extensions (MSE) para permitir la reproducción nativa en HTML5 de vídeos en YouTube, nuevas mejoras de seguridad y algún pequeño pero notable cambio en la interfaz para tablets.
