HTTPS) es la versión segura de HTTP, que es el principal protocolo utilizado para enviar datos entre un navegador web y un sitio web
Hace poco los desarrolladores de Google, que están a cargo del proyecto de Chromium, dieron a conocer mediante una publicación de blog sus intenciones de implementar varios pasos para aumentar el uso de HTTPS por defecto.
Dentro de sus principales preocupaciones mencionan que a pesar de que cerca del 90% del tráfico de los usuarios de Chrome/Chromium proviene de sitios HTTPS, el otro 5-10% del trafico restante es de sitios HTTP, lo que se traduce en navegacion «no segura».
Los desarrolladores mencionan en la publicación que el objetivo final de Google, es habilitar HTTPS-First para todos los usuarios, lo que automáticamente redirige las solicitudes HTTP a HTTPS y aunque aún no todos los sitios admiten HTTPS y existen configuraciones en las que se devuelve contenido diferente al acceder a HTTP y HTTPS, se decidió implementar una serie de medidas intermedias antes de la introducción generalizada del reenvío automático a HTTPS.
Creemos que la web debe ser segura por defecto. El modo HTTPS-First le permite a Chrome cumplir exactamente esa promesa, al obtener su permiso explícito antes de conectarse a un sitio de forma insegura. Nuestro objetivo es eventualmente habilitar este modo para todos de forma predeterminada. Si bien la web aún no está lista para habilitar universalmente el modo HTTPS-First hoy, estamos anunciando varios pasos importantes hacia ese objetivo.
Y es que a partir de Chrome 115, el modo HTTPS-First se habilitó gradualmente de forma predeterminada para un pequeño porcentaje de usuarios. Para garantizar el trabajo con sitios que no admiten HTTPS, se ha implementado un respaldo a HTTP si, después del reenvío, no es posible completar una solicitud a través de HTTPS o si hay problemas con los certificados.
Para quienes desconocen de HTTPS-First, les puedo decir que este resuelve el problema de servir contenido diferente a través de HTTP y HTTPS. Por ejemplo, cuando HTTPS está habilitado, pero no configurado en el servidor, el modo HTTPS-First se aplicará automáticamente por ahora solo si los hits anteriores de HTTPS se registran en el historial de navegación para el sitio actual.
Los archivos descargados pueden contener código malicioso que pasa por alto el espacio aislado de Chrome y otras protecciones, por lo que un atacante de la red tiene una oportunidad única de comprometer su computadora cuando ocurren descargas inseguras. Esta advertencia tiene como objetivo informar a las personas sobre el riesgo que están tomando.
Aún podrá descargar el archivo si se siente cómodo con el riesgo. A menos que esté habilitado el modo HTTPS-First, Chrome no mostrará advertencias cuando se descarguen de manera insegura archivos como imágenes, audio o video, ya que estos tipos de archivos son relativamente seguros. Esperamos implementar estas advertencias a partir de mediados de septiembre.
En esta etapa, el modo HTTPS-First está habilitado para los usuarios que iniciaron sesión en su cuenta y aceptaron participar en el programa de Protección Avanzada de Google.
Además, se menciona que en Chrome 117 se planea implementar advertencias al intentar descargar archivos a través de una conexión insegura. Se mostrarán advertencias para archivos con algunas extensiones peligrosas (.exe, .zip) e informarán al usuario sobre el riesgo de que estos archivos sean falsificados debido al uso de un canal de comunicación no cifrado. Esto permitirá al usuario poder descartar la advertencia y continuar con la descarga a través de HTTP. Los archivos de imagen, video y música no recibirán estas advertencias.
Para quienes esten interesados en poder habilitar el modo HTTPS-First sin esperar su activación por defecto en el navegador, pueden hacerlo en el configurador (chrome://settings/security), al habilitar la configuración «Usar siempre conexiones seguras» o usar las funciones experimentales «chrome:/ /flags/#https-upgrades» y «chrome://flags/#insecure-download-warnings».
Finalmente, se menciona que en una versión futura de Chrome, está previsto habilitar HTTPS-First de forma predeterminada para las páginas abiertas en modo de incógnito, ya que actualmente se están realizando experimentos para habilitar automáticamente HTTPS-First para sitios que se sabe que admiten HTTPS, así como habilitar HTTPS-First para usuarios que rara vez usan HTTP en su navegador.
Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...