El caos del HTTPS

El caso Facebook opacó lo que para este año era un cambio muy importante en la vida en Internet, la transición de una web "abierta" a una web cifrada más segura y rápida.

A principios de año se anunciaba que los principales navegadores comenzarían a señalar como "inseguros" a todos los sitios web que no utilicen HTTPS. Google Chrome, el navegador más utilizado en el mundo, lo hará a partir de julio de 2018, mientras que Firefox ya lo viene implementando desde el 2015.

¿Qué significa "inseguro"?
Significa que alguien (una persona o un sistema) puede estar "escuchando" los datos enviados a través de tal sitio y, en el caso de que requieras ingresar datos personales o privados como contraseñas o números de tarjetas de crédito, estarías expuesto a que ese "alguien escuchando" pueda obtener tus datos.

A diferencia del protocolo HTTPS, HTTP transmite nuestros datos en texto plano, sin cifrar. Esto implica que cualquiera que se conecte a la misma red por la que navegamos podría espiar fácilmente nuestras comunicaciones.

¿Cuándo un sitio es seguro?
El famoso candado verde a la izquierda de la barra del navegador indica si el sitio donde estamos navegando es seguro, además, la dirección del sitio iniciará con https://. Sin embargo, Google Chrome ya advierte que próximamente dejará de mostrar el candado verde cuando un sitio sea seguro, en contrapunto, dejará muy claro cuando el sitio no lo sea, lo que parece lógico si pensamos en una Internet segura como regla y no como excepción.

¿Qué dice Google?
Siempre hay que escuchar lo que dice el buscador más utilizado en el mundo, Google, que en este caso lo dejó muy claro. Puede penalizar a un sitio web si no usa HTTPS.

En el caso de los navegadores, en general, todos han actualizado sus interfaces para mostrar cuándo navegamos por un sitio seguro (es decir, con un certificado SSL) tanto como cuando no lo hacemos.

¿Qué es un certificado SSL?
El certificado SSL es el encargado de encriptar los datos que envíe el usuario a través de un sitio web.

¿Qué tipos de certificados SSL existen?
Existen varios certificados SSL:

1. Dominio único. Funciona únicamente para un dominio ej: miweb.com
2. Multidominio. Proteje varios dominios similares ej: miweb.com, miweb.net, miweb.io
3. Wildcard: Proteje un dominio principal y todos los subdominios ej: miweb.com, blog.miweb.com, tienda.miweb.com
4. Organización. Autentifican un dominio y la información de la empresa.
5. Extendido EV: Parecido a la opción anterior pero requiere de mayores pasos de validaciones por parte de la empresa que lo adquiere.
6. Gratuito: Igualmente seguro a todas las demás opciones pero de fácil acceso, sin costo, y generalmente ofrecido por empresas de venta de dominios, hosting, etc.

¿Qué tipo de certificado brinda Medios CMS?
Medios CMS ofrece un certificado Wilcard gratuito multidominio provisto por CloudFlare. Todos los clientes de Medios CMS acceden a HTTPS sin costo adicional.

En Medios CMS no se admite la instalación de certificados externos, es una buena aclaración para evitar comprar certificados innecesariamente. 

¿Qué debo tener en cuenta al activar HTTPS en mi sitio?
Si bien es una mejora sustancial en seguridad, la implementación de HTTPS requiere cambios en las formas de trabajo de los usuarios, desde administradores de sistemas hasta usuarios finales.

Cuando un sitio funciona bajo HTTPS, todo lo que contenga ese sitio debe también funcionar bajo HTTPS. En algunos casos de usuarios administradores de sitios web, esta aclaración no es menos importante ya que muchas veces se elige incluir widgets, plugins, videos, imágenes o archivos de sitios o plataformas externas sin tener la precaución de corroborar el protocolo utilizado.

Tal es el caso de Medios CMS que permite no solo integrar códigos de otras plataformas (iFrames de reproductores de audio, video, pronósticos del tiempo, cotización de monedas y Scripts de redes sociales, etc) sino también permite capturar imágenes y fotos directamente con la URL del recurso. En estos casos es importante revisar que el recurso que estamos integrando a nuestro sitio también funcione bajo HTTPS, porque de lo contrario es posible que el navegador no muestre tal recurso y notifique al usuario sobre el intento de ejecución de un contenido no seguro, bloqueando dicho contenido consecuentemente.

Detectar los recursos que pueden ser utilizados en tu sitio simplemente requiere corroborar que el recurso o el sitio desde donde se obtiene el mismo funcione bajo HTTPS, es decir, mirar que la dirección del sitio comience con HTTPS.

¿Qué hay de la compatibilidad?
Posiblemente cuando estés trabajando desde una PC con Widows XP tu sitio muestre un error luego de activar HTTPS. Mis amigos, si velamos por una navegación más segura en Internet, no podemos estar utilizando navegadores desactualizados o sistemas operativos obsoletos. Desde el momento en que un sistema operativo deja de recibir actualizaciones, se convierte en el blanco preferido de cualquier atacante y en un tremendo dolor de cabeza para los desarrolladores.

Todos los navegadores y sistemas operativos modernos que aún reciben actualizaciones son compatibles con HTTPS, como bien dice Marino Castillo, profesor asociado y responsable del área de informática de la Universidad de Málaga:

“En el momento en que los ordenadores se conectan a Internet tienes que tener unos requisitos de seguridad mínimos y estos sitemas operativos no los cumplen porque son antiguos”, Fuente: Xataka