Mozilla persuadirá a los administradores a habilitar HTTPS

Paralelamente, se anuncia nueva iniciativa que facilitará la instalación de HTTPS.

Según Mozilla, actualmente hay consenso en la comunidad web, en el sentido que los contenidos de sitios web a futuro deberán ser transmitidos mediante conexiones cifradas; es decir, utilizando HTTPS (protocolo seguro de transferencia de hipertexto). Al haber una actitud generalizada a favor de tal estándar, un número cada vez mayor de sitios web habilitan HTTPS. Sin embargo, la organización Mozilla estima que la migración no se está produciendo a la velocidad adecuada, por lo que propone aplicar ciertas medidas de persuasión, e incluso de presión.

Desafíos

Las razones de que un gran número de sitios aún no hayan incorporado HTTPS son diversas, e incluyen gastos, falta de incentivos o retos técnicos. La causa más común, desde una perspectiva técnica, es que numerosos sitios incorporan contenidos externos, no cifrados, en sus páginas. La mayor parte de los navegadores intentan, al estar preconfigurados para tal objetivo, bloquear contenidos no seguros, debido a que estos contenidos ponen en riesgo la seguridad digital del usuario. El propio usuario tiene la posibilidad de anular tal bloqueo, autorizando así la descarga de los contenidos no cifrados.

Durante un período de discusiones en la comunidad de desarrolladores, Mozilla anunció antes del fin de semana su intención de desfasar el soporte para HTTP en Firefox. La medida podría parecer exagerada, pero la empresa asegura que no es algo que será implantado “de un día para otro”.

El plan

El desfase gradual de HTTP en Firefox podría implicar que sitios web que actualmente utilizan HTTP no funcionen igual de bien con el navegador de Mozilla. La intención de la fundación es que a partir de una fecha determinada, a ser acordada posteriormente, los navegadores deberían dejar de soportar nuevas funcionalidades de la web, entregadas vía HTTP. Adicionalmente, se propone un desfase gradual del acceso que los sitios inseguros tienen a determinadas funcionalidades de los navegadores modernos. Tales funcionalidades serían fundamentalmente aquellas que podrían suponer un riesgo para la seguridad y privacidad de los usuarios.

Alternativa

Mozilla considera además una solución menos estricta, que implica la autorización expresa de los usuarios antes de poder utilizar funciones algo arriesgadas; es decir, al igual que ocurre actualmente, en que se requiere la autorización de los usuarios cada vez que aplicaciones intentan acceder a la cámara y micrófono.

“Considerando que el objetivo de esta iniciativa es recalcar ante la comunidad de desarrolladores web la importancia que tiene la seguridad, nuestro trabajo en este área será más eficaz si es coordinado con esta comunidad. Por lo tanto, estamos preparando propuestas para Grupo de Trabajo W3C WebAppSec, escribe Richard Barnes, uno de los directores de seguridad de Mozilla, en el blog de la organización.

Google

El gigante de las búsquedas, Google, también es partidario de la idea “HTTPS en todas partes”, y los desarrolladores de Chrome han abordado anteriormente las mismas ideas que hoy propone Mozilla, sin que tales intenciones hayan cristalizado en una decisión formal.

En el entretanto, la empresa utiliza el sistema de calificación y relevancia de su buscador, premiando a aquellos sitios que hayan incorporado HTTPS. La propia empresa se encuentra abocada a migrar todos sus productos publicitarios a HTTPS, algo que según ha anunciado ocurrirá antes de junio del presente año.

Certificados

Para los usuarios hay tres ventajas principales de utilizar sitios que hayan incorporado HTTPS. En primer lugar, los datos son transferidos en formato cifrado, lo que hace más difícil interceptarlos. Por otra parte, el cifrado dificulta que intrusos alteren los datos que están siendo transferidos. En tercer lugar, la utilización de un certificado de autentificación garantiza que el sitio es auténtico y que no se trata de una versión suplantada.

Mientras que, por ejemplo, para un banco en línea es fundamental tener un certificado de seguridad válido, probablemente es menos importante para la mayoría de los demás servicios que aún no hayan incorporado HTTPS. HTTP no puede garantizar que el usuario no se encuentra en un sitio falso.

Let´s Encrypt (cifremos)

Un gran número de usuarios que han intentado migrar su sitio hacia HTTPS reportan problemas de configuración. Efectivamente, el proceso requiere una serie de pasos. Por lo tanto, una nueva iniciativa ha sido establecida con el fin de facilitar considerablemente el proceso.

La iniciativa es denominada Let´s Encrypt (cifremos), y tiene como finalidad ofrecer una solución que haga que el proceso sea mucho más automatizado. La solución estará disponible dentro de pocos meses, y es respaldada, entre otros, por Mozilla, Electronic Frontier Foundation, Cisco y Akamai.

Imagen de https via Shutterstock


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022