Chrome 68: un paso más para garantizar la seguridad en Internet

La concienciación en torno a los riesgos y peligros del intercambio de información en Internet no solo ha crecido en las empresas, sino también entre los usuarios de a pie. Es por eso que, en la medida de lo posible, se buscan soluciones que permitan navegar con seguridad y hagan que los ciberdelincuentes lo tengan más difícil para acceder a datos confidenciales. Pero no se trata de un tema que solo preocupa a los usuarios, sino que del lado de los navegadores también se están tomando medidas para garantizar una mayor protección y seguridad. El máximo exponente de ello es Chrome, que en cada una de sus versiones ha ido introduciendo nuevas condiciones para dar una mayor fiabilidad a la navegación. En julio se instala en este navegador la versión Chrome 68, y con ella se endurecen las medidas en lo que respecta a seguridad. Basta con conocerlas y adaptarse a ellas para que el uso de Internet siga beneficiando a visitantes y gestores de páginas web.

Consejo

¿Quieres que tu sitio web sea más seguro? Infórmate aquí sobre los certificados SSL de 1&1 y cómo aumentan el nivel de confianza de tu página.  

¿Qué es Chrome 68 y qué cambios introduce?

En febrero de 2018, Emily Schechter, gerente de productos de seguridad de Chrome, anunciaba en Twitter lo que muchas personas llevaban tiempo esperando: Google Chrome iba a indicar qué páginas no eran seguras. Este sueño se ha hecho realidad con Chrome 68, la nueva versión que el navegador ha lanzado en julio del mismo año y que, entre otros aspectos, hace especial hincapié en la seguridad. Hasta ahora se avisaba de las páginas seguras y solo se indicaban las no seguras en algunos casos, por ejemplo, si se trataba de páginas donde se enviaba información confidencial sin encriptar. A partir de esta nueva versión se indicará explícitamente en la barra de direcciones que una página no es segura si esta no está protegida con un certificado SSL válido. En resumen, todas las direcciones cuyas URL empiecen por HTTP y no por HTTPS serán marcadas como “no seguras”, sin importar el contenido.

Consejo

¿Lo sabías? ¡Todos los packs de Hosting y Dominios 1&1 incluyen un certificado SSL Wildcard de Digiciert gratis!

¿Qué objetivo persigue Google con Chrome 68?

Es cierto que Chrome lleva tratando desde hace tiempo de que las webs con HTTP migraran a HTTPS, y lo cierto es que sus intentos no han caído en saco roto. En el blog de Chromium se afirma que más del 68 % del tráfico de Chrome en Android y Windows estaba protegido, en el caso de Chrome SO y Mac este porcentaje ascendía a 78. Pero ¿de dónde procede esta intención de eliminar HTTP de los dominios? A diferencia de HTTP, con HTTPS los datos transferidos en una web están encriptados mediante SSL o TLS (si se opta por la técnica más moderna), lo que reduce la vulnerabilidad frente a posibles ataques, ya que evita que terceros puedan manipular o interceptar la comunicación. Además, en esta nueva versión del navegador subyace una campaña de sensibilización que el gigante lleva realizando desde hace varios años: los usuarios de Internet han de ser conscientes de los peligros que conlleva visitar páginas no protegidas. Con este movimiento, Chrome se presenta como un navegador seguro en el que los internautas pueden confiar, lo que sin duda alguna le reporta beneficios, pues son más los usuarios que recurren a él.

Nota

Es importante tener en cuenta que la migración a HTTPS implica a la web completa con todas sus subpáginas. Cierto es que solo se marcarán como no seguras aquellas subpáginas que no estén encriptadas. No obstante, desde el punto de vista de la seguridad, encriptar una web solo parcialmente hace que sigan existiendo peligros. De igual modo, los entornos web internos de una empresa que no estén encriptados también se marcarán como no seguros.

¿Qué ventajas tiene migrar a HTTPS?

Como gestor de una web en la que los usuarios no tengan que introducir datos bancarios u otro tipo de información confidencial, hay quien podría no tomar demasiado en serio la advertencia de Google de página no segura y no migrar a HTTPS. No obstante, hay que decir que pasar al protocolo de cifrado trae consigo otros aspectos positivos para las páginas y, en definitiva, para el negocio. Por una parte, adoptar el protocolo HTTPS aumenta la credibilidad de las mismas y de nada servirá ofrecer un contenido de calidad o información privilegiada si al ver la advertencia de “no seguro” los usuarios piensan que desde la gestión de la web no son tomados en serio y no se da importancia a su seguridad y protección. Implementándolo se favorece que los posibles visitantes opten por la página protegida frente a otras de características similares que no lo están. Por otra parte, el protocolo tiene una influencia en el posicionamiento en los buscadores, ya que Google penaliza a las páginas sin HTTPS, de modo que si se quiere aparecer en una mejor posición en la lista de resultados es conveniente cambiar el protocolo de cifrado.

Google deja de mostrar la sigla “seguro” y destaca las paginas HTTP

Google anunció en mayo 2018 la eliminación de la sigla “seguro” que aparece actualmente en todas las paginas HTTPS, dado que estos sitios se entenderán seguros por defecto. Sin embargo, la alerta roja “no seguro” permanecerá en los sitios que siguen con el protocolo HTTP. Como indicado en el blog Google Chromium, este cambio entrará en vigor con el despliegue de Chrome 69 en septiembre de 2018.

En resumen: qué hacer si eres el gestor de una página web

En última instancia es decisión del gestor de una web implementar el certificado SSL o dejar que el navegador muestre a los usuarios que se trata de una página no segura. No obstante, y teniendo en cuenta que en lo que a seguridad respecta Chrome es cada vez más “estricto” y tarde o temprano va a convertirse en requisito indispensable cambiar de HTTP a HTTPS, hacerlo ahora solo puede traer ventajas. Además, según Google, la instalación del protocolo de seguridad nunca ha sido tan fácil: herramientas de desarrollo web como Lighthouse facilitan en gran medida la migración, especialmente cuando se trata de contenidos mixtos.

Consejo

En el artículo de la Digital Guide sobre HTTPS y SSL se puede encontrar información sobre cómo implementar los certificados en las páginas web.

De Chrome 66 a Chrome 70: no más confianza para Symantec

En la actualidad, Google Chrome solo deposita su confianza en las conexiones HTTPS, aunque no en todas: las páginas web con un certificado anticuado de la empresa Symantec son la excepción, debido aI largo enfrentamiento entre la empresa de TI y el organismo de certificación. Según Google, Symantec ha emitido numerosos certificados defectuosos de forma repetida en miles de dominios, provocando que se considere poco fiable.

Ante esta situación, Google fue retirando poco a poco su confianza en el organismo hasta que en Chrome 66 se hizo evidente: desde el 17 de abril de 2018 se muestra en aquellas páginas web protegidas con el certificado TLS de Symantec emitido antes del 6 de junio 2016, un aviso junto a un mensaje que advierte sobre la posibilidad de que terceros intercepten estos datos. Mientras en Chrome 68 se muestra el mensaje de “No seguro”, con Chrome 70, la versión del navegador que se actualizará el 23 de octubre de 2018, las medidas se endurecen para todos los certificados de Symantec emitidos antes del 1 de diciembre 2017. El mensaje “No seguro” se mostrará en rojo y en negrita tan pronto como el usuario quiera introducir sus datos en una página no segura.

Un técnico de seguridad de Airbnb ha contabilizado por iniciativa propia el número de dominios que va a verse afectado por estos cambios: en los 11 510 se encuentra, por ejemplo, ebay.com, www.telecinco.es o www.adidas.es, es decir, un 10 por ciento de las páginas web más visitadas según el ranking de Alexa. El motivo es que con esta actualización de Chrome el navegador no solo retira su confianza de los certificados anticuados emitidos directamente por Symantec, sino también de todos aquellos cuya cadena de confianza recurren al organismo de certificación (estos son, GeoTrust, RapidSSL y Thawte). Por lo tanto, se recomienda a los usuarios de certificados de Symantec que verifiquen la fecha de emisión y que sustituyen el certificado gratuitamente si necesario.

Consejo