Conecta con nosotros

Noticias

El protocolo HTTPS se populariza porque es más barato y sencillo

Publicado el

Los expertos en seguridad llevan ya un tiempo pidiendo a los propietarios de las web que las protejan. Sobre todo después de las revelaciones de Snowden, entre las que se avisaba de que algunas de las agencias de inteligencia con más poder del planeta estaban recopilando datos de comunicaciones online de forma masiva. Varios años después de que se hiciesen públicos estos hechos, la cantidad de páginas web que han implementado el protocolo HTTPS (protocolo seguro de transferencia de hipertexto) ha crecido a buen ritmo, sobre todo a lo largo del pasado año.

Tantas que, según los datos de Google Chrome y Mozilla Firefox, de los que se hace eco Computerworld, más del 50% del tráfico web, tanto desde escritorio como móviles, está ya cifrado, lo que supone un aumento del 10% con respecto a hace un año. Según un estudio sobre el millón de páginas web más visitadas del mundo, realizado el pasado mes de febrero, el 20%o de ellos ya han implementado el protocolo HTTPS. En agosto las webs que lo tenían activado eran el 14%, seis puntos menos.

Hay varias razones para adoptar este protocolo en una web, sobre todo ahora que es menos complicado y los costes relacionados con su despliegue son más reducido. Varias ya han puesto fin a los tópicos que existían al respecto, sobre todo, gracias a mejoras en el software para servidores y clientes a lo largo de los últimos años, las páginas web protegidas con HTTPS ya no tardan tanto tiempo en cargar como hace un tiempo. En la actualidad, el impacto de la capa de seguridad y cifrado del cifrado en los tiempos de carga de una web con HTTPS ya es prácticamente imperceptible.

Pero además de que la seguridad adicional ya no hace mella en los tiempos de carga, la navegación es más rápida. Esto se debe a que los navegadores actuales son compatibles con HTTP/2, una versión que incorpora muchas mejoras de rendimiento. Y aunque el cifrado no es un requisito para la especificación HTTP/2, los navegadores han hecho que sea obligatorio en sus desarrollos. En resumidas cuentas, que si tienes una web y quieres que sus visitantes saquen partido a la aceleración de HPPT/2, tienes que desplegar en ella el protocolo HTTPS.

Qué se necesita y qué problemas pueden surgir

Para ello se necesita un certificado digital, que cuesta un dinero. Hasta no hace mucho, su precio era notable por lo que muchas empresas y comercios pequeños, así como las organizaciones que no se dedican a temas comerciales, habían pospuesto su despliegue. Y aunque no parezca que el precio sea un problema para ellos, muchas empresas grandes, e incluso entidades oficiales habían hecho lo mismo, debido al impacto económico. Pero, como hemos mencionado, esto ya no es un problema. Al menos, para la mayoría de las webs, que no precisan certificados de validación extendida (EV). Todo gracias a una autoridad de certificación sin ánimo de lucro, Let’s Encrypt, que se lanzó el año pasado y proporciona certificados de validación de dominios de manera gratuita. A esto se una además que el procedimiento para solicitarlos está completamente automatizado y es muy sencillo.

Además de esta organización, algunas redes de difusión de contenidos y proveedores de servicios en la nube, entre los que están Amazon y CloudFlare, ofrecen certificados TLS a sus clientes de manera gratuita. Las webs alojadas en la plataforma WordPress.com también integran HTTPS por defecto y cuentan con certificados gratuitos, aunque utilicen dominios personalizados.

Muchos webmaster que estén leyendo esto estarán pensando que, en la práctica, está muy extendido el utilizar recursos externos para cargar, en las webs, elementos como imágenes o vídeos a través de conexiones sin cifrar a una web con HTTPS, lo que puede hacer que aparezcan avisos de seguridad en los navegadores de los usuarios. Y son muchas las que dependen del contenido externo para que todo funcione. Sus responsables se han mantenido hasta ahora al margen de este protocolo por ello, pero esto ya está cambiando, debido a que muchos de esos servicios de terceros, entre los que hay varias redes de publicidad online, han ido agregando soporte para el protocolo HTTPS.

En caso de tener alguna duda con el contenido de terceros, los webmasters pueden utilizar recursos como CloudFlare, para que haga de proxy entre los usuarios y el servidor web en el que está alojada la web. CloudFlare cifra el tráfico web que hay entre los usuarios y su servidor proxy, aunque la conexión entre el proxy y el lugar en el que se aloje la web siga sin cifrar. Esto asegura sólo la mitad de la conexión, pero es mejor que nada.

Ventajas de implementar HTTPS

Una de las mayores ventajas del protocolo HTTPS es que protege a los usuarios frente a los ataques conocidos como «man in the middle«, que pueden lanzarse desde redes inseguras o comprometidas. Los hackers los emplean para robar información o para inyectar contenidos maliciosos en el tráfico web. Además, el público en general suele confiar más en una web que tiene el protocolo HTTPS implementado.

Además, hace ya un tiempo que Google comenzó a apostar por este protocolo y a favorecer a las páginas con HTTPS, frente a las que no lo tienen, a la hora de indexar sus resultados de búsqueda. Es decir, que a igualdad de contenidos, las webs con HTTPS aparecerán antes en el buscador que las que no lo tienen cuando se hace una búsqueda. En cuanto a los principales navegadores, como Chrome o Firefox, también hace ya tiempo que si un internauta intenta introducir contraseñas o datos bancarios en webs que no tienen implementado este protocolo muestran avisos al respecto.

Además, Chrome no permite que las webs que no tienen HTTPS accedan a diversas funciones, como la geolocalización, la caché de aplicaciones o lo relacionado con el desplazamiento de dispositivos o su orientación. Sus creadores todavía van a ir un paso más allá, ya que están pensando en que aparezca un indicador de inseguridad en la barra de direcciones cuando una web no es segura. Con la implementación de HTTPS en las webs se acabará con todos estos mensajes.

En cuanto al futuro, todavía quedan algunas barreras por eliminar, como el trabajo con servicios de terceros que todavía no soportan HTTPS, o los sistemas antiguos. Pero los expertos esperan que estos y otros incepntivos, como una mayor facilidad para su implementación, unidos a la presión para acelerar su adopción por parte de la industria y el público, consigan acelerar el despliegue de este protocolo de seguridad para las páginas.

Foto: Santeri Viinamäki

Lo más leído