Chrome 68: un paso más para ga­ra­n­ti­zar la seguridad en Internet

La co­n­cie­n­cia­ción en torno a los riesgos y peligros del in­te­r­ca­m­bio de in­fo­r­ma­ción en Internet no solo ha crecido en las empresas, sino también entre los usuarios de a pie. Es por eso que, en la medida de lo posible, se buscan so­lu­cio­nes que permitan navegar con seguridad y hagan que los ci­be­r­de­li­n­cue­n­tes lo tengan más difícil para acceder a datos co­n­fi­de­n­cia­les. Pero no se trata de un tema que solo preocupa a los usuarios, sino que del lado de los na­ve­ga­do­res también se están tomando medidas para ga­ra­n­ti­zar una mayor pro­te­c­ción y seguridad. El máximo exponente de ello es Chrome, que en cada una de sus versiones ha ido in­tro­du­cie­n­do nuevas co­n­di­cio­nes para dar una mayor fia­bi­li­dad a la na­ve­ga­ción. En julio se instala en este navegador la versión Chrome 68, y con ella se endurecen las medidas en lo que respecta a seguridad. Basta con co­no­ce­r­las y adaptarse a ellas para que el uso de Internet siga be­ne­fi­cia­n­do a vi­si­ta­n­tes y gestores de páginas web.

Es cierto que Chrome lleva tratando desde hace tiempo de que las webs con HTTP migraran a HTTPS, y lo cierto es que sus intentos no han caído en saco roto. En el blog de Chromium se afirma que más del 68 % del tráfico de Chrome en Android y Windows estaba protegido, en el caso de Chrome SO y Mac este po­r­ce­n­ta­je ascendía a 78. Pero ¿de dónde procede esta intención de eliminar HTTP de los dominios? A di­fe­re­n­cia de HTTP, con HTTPS los datos tra­n­s­fe­ri­dos en una web están en­cri­p­ta­dos mediante SSL o TLS (si se opta por la técnica más moderna), lo que reduce la vu­l­ne­ra­bi­li­dad frente a posibles ataques, ya que evita que terceros puedan manipular o in­te­r­ce­p­tar la co­mu­ni­ca­ción. Además, en esta nueva versión del navegador subyace una campaña de se­n­si­bi­li­za­ción que el gigante lleva rea­li­za­n­do desde hace varios años: los usuarios de Internet han de ser co­n­s­cie­n­tes de los peligros que conlleva visitar páginas no pro­te­gi­das. Con este mo­vi­mie­n­to, Chrome se presenta como un navegador seguro en el que los in­te­r­nau­tas pueden confiar, lo que sin duda alguna le reporta be­ne­fi­cios, pues son más los usuarios que recurren a él.

Como gestor de una web en la que los usuarios no tengan que in­tro­du­cir datos bancarios u otro tipo de in­fo­r­ma­ción co­n­fi­de­n­cial, hay quien podría no tomar demasiado en serio la ad­ve­r­te­n­cia de Google de página no segura y no migrar a HTTPS. No obstante, hay que decir que pasar al protocolo de cifrado trae consigo otros aspectos positivos para las páginas y, en de­fi­ni­ti­va, para el negocio. Por una parte, adoptar el protocolo HTTPS aumenta la cre­di­bi­li­dad de las mismas y de nada servirá ofrecer un contenido de calidad o in­fo­r­ma­ción pri­vi­le­gia­da si al ver la ad­ve­r­te­n­cia de “no seguro” los usuarios piensan que desde la gestión de la web no son tomados en serio y no se da im­po­r­ta­n­cia a su seguridad y pro­te­c­ción. Im­ple­me­n­tá­n­do­lo se favorece que los posibles vi­si­ta­n­tes opten por la página protegida frente a otras de ca­ra­c­te­rí­s­ti­cas similares que no lo están. Por otra parte, el protocolo tiene una in­flue­n­cia en el po­si­cio­na­mie­n­to en los bu­s­ca­do­res, ya que Google penaliza a las páginas sin HTTPS, de modo que si se quiere aparecer en una mejor posición en la lista de re­su­l­ta­dos es co­n­ve­nie­n­te cambiar el protocolo de cifrado.

Google anunció en mayo 2018 la eli­mi­na­ción de la sigla “seguro” que aparece ac­tua­l­me­n­te en todas las paginas HTTPS, dado que estos sitios se en­te­n­de­rán seguros por defecto. Sin embargo, la alerta roja “no seguro” pe­r­ma­ne­ce­rá en los sitios que siguen con el protocolo HTTP. Como indicado en el blog Google Chromium, este cambio entrará en vigor con el de­s­plie­gue de Chrome 69 en se­p­tie­m­bre de 2018.

En última instancia es decisión del gestor de una web im­ple­me­n­tar el ce­r­ti­fi­ca­do SSL o dejar que el navegador muestre a los usuarios que se trata de una página no segura. No obstante, y teniendo en cuenta que en lo que a seguridad respecta Chrome es cada vez más “estricto” y tarde o temprano va a co­n­ve­r­ti­r­se en requisito in­di­s­pe­n­sa­ble cambiar de HTTP a HTTPS, hacerlo ahora solo puede traer ventajas. Además, según Google, la in­s­ta­la­ción del protocolo de seguridad nunca ha sido tan fácil: he­rra­mie­n­tas de de­sa­rro­llo web como Li­gh­thou­se facilitan en gran medida la migración, es­pe­cia­l­me­n­te cuando se trata de co­n­te­ni­dos mixtos.

En la ac­tua­li­dad, Google Chrome solo deposita su confianza en las co­ne­xio­nes HTTPS, aunque no en todas: las páginas web con un ce­r­ti­fi­ca­do anticuado de la empresa Symantec son la excepción, debido aI largo en­fre­n­ta­mie­n­to entre la empresa de TI y el organismo de ce­r­ti­fi­ca­ción. Según Google, Symantec ha emitido numerosos ce­r­ti­fi­ca­dos de­fe­c­tuo­sos de forma repetida en miles de dominios, pro­vo­ca­n­do que se considere poco fiable.

Ante esta situación, Google fue retirando poco a poco su confianza en el organismo hasta que en Chrome 66 se hizo evidente: desde el 17 de abril de 2018 se muestra en aquellas páginas web pro­te­gi­das con el ce­r­ti­fi­ca­do TLS de Symantec emitido antes del 6 de junio 2016, un aviso junto a un mensaje que advierte sobre la po­si­bi­li­dad de que terceros in­te­r­ce­p­ten estos datos. Mientras en Chrome 68 se muestra el mensaje de “No seguro”, con Chrome 70, la versión del navegador que se ac­tua­li­za­rá el 23 de octubre de 2018, las medidas se endurecen para todos los ce­r­ti­fi­ca­dos de Symantec emitidos antes del 1 de diciembre 2017. El mensaje “No seguro” se mostrará en rojo y en negrita tan pronto como el usuario quiera in­tro­du­cir sus datos en una página no segura.

Un técnico de seguridad de Airbnb ha co­n­ta­bi­li­za­do por ini­cia­ti­va propia el número de dominios que va a verse afectado por estos cambios: en los 11 510 se encuentra, por ejemplo, ebay.com, www.telecinco.es o www.adidas.es, es decir, un 10 por ciento de las páginas web más visitadas según el ranking de Alexa. El motivo es que con esta ac­tua­li­za­ción de Chrome el navegador no solo retira su confianza de los ce­r­ti­fi­ca­dos an­ti­cua­dos emitidos di­re­c­ta­me­n­te por Symantec, sino también de todos aquellos cuya cadena de confianza recurren al organismo de ce­r­ti­fi­ca­ción (estos son, GeoTrust, RapidSSL y Thawte). Por lo tanto, se re­co­mie­n­da a los usuarios de ce­r­ti­fi­ca­dos de Symantec que ve­ri­fi­quen la fecha de emisión y que su­s­ti­tu­yen el ce­r­ti­fi­ca­do gra­tui­ta­me­n­te si necesario.