Google ha anunciado que empezará a marcar las conexiones HTTP como “no seguras” en su navegador Chrome.
A partir de Chrome 56 (que será lanzado en Enero de 2017), Google empezará a etiquetar los sitios HTTP como “no seguros”, intentando concienciar a los usuarios del riesgo que entraña enviar información sensible a través del protocolo HTTP, así como de animar a los webmasters a que adopten en sus webs el protocolo seguro HTTPS.
La versión actual y las versiones anteriores de Chrome no marcaban el tráfico HTTP de ninguna manera especial (como sí que hacen con el tráfico HTTPS). Según la compañía, “los usuarios no perciben como advertencia la falta de un icono marcando un sitio seguro”. El protocolo HTTP envía la información sin encriptar, un sistema peligroso, especialmente a la hora de transmitir contraseñas y números de tarjeta de crédito, que un atacante podría interceptar fácilmente.
Goole anuncia en su blog que empezará a incluir el indicador de HTTP de una manera progresiva. Empezando con la versión 56 de Chrome, el buscador marcará primero como “no seguras” las páginas HTTP con campos de de contraseña o de tarjeta de crédito, ya que éstos son tipos de información especialmente sensibles. En futuras versiones, Google planea etiquetar todas las páginas HTTP como “no seguras”, primero en el Modo Incógnito del navegador (puesto que sus usuarios pueden estar más alerta sobre la privacidad), y después a todo el tráfico HTTP en Chrome. En una última fase, Google planea marcar todas las conexiones HTTP con el triángulo rojo que ahora utiliza para alertar de conexiones HTTPS rotas.
La compañía recomienda a los webmasters que no lo hayan hecho ya, que empiecen a migrar sus servicios a HTTPS, argumentando que esta opción es ahora más barata que nunca, y que además permite activar nuevas funciones, como la compartición de media por parte del usuario, un tipo de tráfico demasiado sensible para conexiones HTTP.
El protocolo HTTPS transmite tráfico HTTP encriptado por una capa adicional Transport Layer Security o Secure Sockets Layer. Además de añadir cifrado bidireccional a la comunicación, HTTPS también provee autenticación de la página web y del servidor asociado a ésta, protegiendo contra suplantación, espionaje, y otros ataques de man-in-the-middle. Es decir, los usuarios tienen más garantías que nadie podrá interceptar su información, al contrario de las conexiones HTTP.
Más información sobre el 360 Total Security