Seg煤n Mozilla, actualmente hay consenso en la comunidad web, en el sentido que los contenidos de sitios web a futuro deber谩n ser transmitidos mediante conexiones cifradas; es decir, utilizando HTTPS (protocolo seguro de transferencia de hipertexto). Al haber una actitud generalizada a favor de tal est谩ndar, un n煤mero cada vez mayor de sitios web habilitan HTTPS. Sin embargo, la organizaci贸n Mozilla estima que la migraci贸n no se est谩 produciendo a la velocidad adecuada, por lo que propone aplicar ciertas medidas de persuasi贸n, e incluso de presi贸n.
Desaf铆os
Las razones de que un gran n煤mero de sitios a煤n no hayan incorporado HTTPS son diversas, e incluyen gastos, falta de incentivos o retos t茅cnicos. La causa m谩s com煤n, desde una perspectiva t茅cnica, es que numerosos sitios incorporan contenidos externos, no cifrados, en sus p谩ginas. La mayor parte de los navegadores intentan, al estar preconfigurados para tal objetivo, bloquear contenidos no seguros, debido a que estos contenidos ponen en riesgo la seguridad digital del usuario. El propio usuario tiene la posibilidad de anular tal bloqueo, autorizando as铆 la descarga de los contenidos no cifrados.
Durante un per铆odo de discusiones en la comunidad de desarrolladores, Mozilla anunci贸 antes del fin de semana su intenci贸n de desfasar el soporte para HTTP en Firefox. La medida podr铆a parecer exagerada, pero la empresa asegura que no es algo que ser谩 implantado “de un d铆a para otro”.
El plan
El desfase gradual de HTTP en Firefox podr铆a implicar que sitios web que actualmente utilizan HTTP no funcionen igual de bien con el navegador de Mozilla. La intenci贸n de la fundaci贸n es que a partir de una fecha determinada, a ser acordada posteriormente, los navegadores deber铆an dejar de soportar nuevas funcionalidades de la web, entregadas v铆a HTTP. Adicionalmente, se propone un desfase gradual del acceso que los sitios inseguros tienen a determinadas funcionalidades de los navegadores modernos. Tales funcionalidades ser铆an fundamentalmente aquellas que podr铆an suponer un riesgo para la seguridad y privacidad de los usuarios.
Alternativa
Mozilla considera adem谩s una soluci贸n menos estricta, que implica la autorizaci贸n expresa de los usuarios antes de poder utilizar funciones algo arriesgadas; es decir, al igual que ocurre actualmente, en que se requiere la autorizaci贸n de los usuarios cada vez que aplicaciones intentan acceder a la c谩mara y micr贸fono.
“Considerando que el objetivo de esta iniciativa es recalcar ante la comunidad de desarrolladores web la importancia que tiene la seguridad, nuestro trabajo en este 谩rea ser谩 m谩s eficaz si es coordinado con esta comunidad. Por lo tanto, estamos preparando propuestas para Grupo de Trabajo W3C WebAppSec, escribe Richard Barnes, uno de los directores de seguridad de Mozilla, en el blog de la organizaci贸n.
El gigante de las b煤squedas, Google, tambi茅n es partidario de la idea “HTTPS en todas partes”, y los desarrolladores de Chrome han abordado anteriormente las mismas ideas que hoy propone Mozilla, sin que tales intenciones hayan cristalizado en una decisi贸n formal.
En el entretanto, la empresa utiliza el sistema de calificaci贸n y relevancia de su buscador, premiando a aquellos sitios que hayan incorporado HTTPS. La propia empresa se encuentra abocada a migrar todos sus productos publicitarios a HTTPS, algo que seg煤n ha anunciado ocurrir谩 antes de junio del presente a帽o.
Certificados
Para los usuarios hay tres ventajas principales de utilizar sitios que hayan incorporado HTTPS. En primer lugar, los datos son transferidos en formato cifrado, lo que hace m谩s dif铆cil interceptarlos. Por otra parte, el cifrado dificulta que intrusos alteren los datos que est谩n siendo transferidos. En tercer lugar, la utilizaci贸n de un certificado de autentificaci贸n garantiza que el sitio es aut茅ntico y que no se trata de una versi贸n suplantada.
Mientras que, por ejemplo, para un banco en l铆nea es fundamental tener un certificado de seguridad v谩lido, probablemente es menos importante para la mayor铆a de los dem谩s servicios que a煤n no hayan incorporado HTTPS. HTTP no puede garantizar que el usuario no se encuentra en un sitio falso.
Let麓s Encrypt (cifremos)
Un gran n煤mero de usuarios que han intentado migrar su sitio hacia HTTPS reportan problemas de configuraci贸n. Efectivamente, el proceso requiere una serie de pasos. Por lo tanto, una nueva iniciativa ha sido establecida con el fin de facilitar considerablemente el proceso.
La iniciativa es denominada Let麓s Encrypt (cifremos), y tiene como finalidad ofrecer una soluci贸n que haga que el proceso sea mucho m谩s automatizado. La soluci贸n estar谩 disponible dentro de pocos meses, y es respaldada, entre otros, por Mozilla, Electronic Frontier Foundation, Cisco y Akamai.
—
Imagen de https via Shutterstock
