10 razones para usar HTTPS
HTTPS, HTTP sobre TLS, ha estado presente desde 1994, y está siendo usado por webs que necesitan mayor seguridad, bancos, tiendas onlines, organismos oficiales, etc... Sin embargo, la gran mayoría de los sitios web (entre el 81% y el 97%) siguen usando HTTP sin cifrar, sin importar que no sea seguro.
Hoy, sin embargo, hay más razones que nunca para cambiar a HTTPS, incluso para un sitio de noticias, sitio web corporativo o cualquier sitio que no se considere en la parte superior de la "cadena alimenticia de la seguridad". El cambio a HTTPS creció un 80% el año pasado, mucho más rápido que en años anteriores, pero todavía estamos muy lejos de que los sitios cifrados sean una mayoría.
Si no estás convencido de que HTTPS sea lo más adecuado, o necesitas argumentos convencer a sus compañeros y jefes, aquí hay 10 buenas razones para cambiar a HTTPS.
1. Protege la privacidad de tus usuarios
En primer lugar, HTTPS protege tus usuarios. Publicar una actualización de una noticia en un foro puede ser un problema grave en ciertos paises restrictivos con la difusión de las mismas; una empresa estricta con la navegación por internet de sus empleados podrá dar por terminado el contrato basandose en el historial de navegación de un empleado y, por supuesto, los asuntos Snowden han demostrado claramente los gobiernos siempre quieren saber más de lo que hacemos en internet.
El uso de HTTPS hace que sea mucho más difícil para un gobierno averiguar lo que está haciendo un usuario y ayuda a mantener su responsabilidad más importante,la confianza de la gente.
2. Search Engine Optimization (SEO)
El año pasado (2014), Google anunció que HTTPS sería una señal de posicionamiento. Google, al igual que otros motores de búsqueda, tiene como objetivo promover lo que es mejor para el usuario, y para un usuario un sitio web que protege la privacidad del usuario mediante HTTPS es mejor que uno que no lo es.
Si ves esto como una zanahoria (usa HTTPS y serás recompensado) o un palo (usa HTTPS o serás perjudicado) piensa que pocas cosas mueven a las empresas tanto como el SEO. Para un asesoramiento más detallado sobre cómo ajustar HTTPS para fines de SEO, echa un vistazo a este artículo de Moz.
3. Protege tu Marca
El contenido sin cifrar puede ser fácilmente manipulado. Un usuario navega por un diario online usando una red wifi abierta o intervenida puede leer noticias que en realidad nunca sucedieron. Una web corporativa puede mostrar una disculpa por una malversación del CEO que en realidad nunca existió. Y cualquier sitio web no seguro se puede hacer para mostrar porno (o cosas peores).
Además, las páginas no cifradas están a menudo en el camino de otras seguras. Por ejemplo, una tienda online con una página de producto que no está cifrada pero el proceso de compra real si utiliza HTTPS. Un ataque "man in the middle" puede cambiar la página del producto no cifrada y que el botón "Añadir al carrito" vaya a una copia fraudulenta de la página web y el navegador (y los usuarios) no notará ninguna diferencia.
Si lo que quieres es que los usuarios vean el contenido que realmente has publicado, y deseas que sus acciones siempre lleguen a ti, usa HTTPS.
4. Los navegadores van a marcar HTTP como NO seguro
A día de hoy, los navegadores marcan HTTPS [pintando la URL verde o añadiendo un candado] sólo si el sitio está cifrado correctamente. Estas señales en realidad transmiten una falsa sensación de seguridad, indicando que los sitios web con HTTPS son seguros cuando en realidad lo que es segura es la conexión y no el servidor. Lo que es cierto es que las conexiones HTTP no cifradas no son seguras.
Los navegadores están ahora a punto de actualizar sus indicadores para esto. Tanto Google y Firefox han avisado que van a marcar los sitios HTTP por primera vez como dudosos y luego como no seguros, posiblemente este mismo año ya. Si continuas usando HTTP, los usuarios serán informados de manera explícita de que tu sitio web no es seguro, lo cual reduce la confianza.
Nota: La eficacia de los avisos pasivos, positivos o negativos, es muy baja, y los navegadores pueden cambiar esas advertencias por otras que requieran un clic.
5. HTTP 2
18 años después de su creación, HTTP/1.1 finalmente se ha actualizado. Su sucesor, HTTP/2, se ha terminado oficialmente en Mayo (2015). HTTP/2 evoluciona a partir de SPDY de Google e incluye muchas mejoras significativas sobre HTTP/1.1, que van desde peticiones en paralelo, cabeceras con compresión y notifiaciones push desde el servidor.
Por razones de compatibilidad, así como el deseo de hacer la web mas segura, los navegadores sólo apoyarán HTTP/2 a través de HTTPS. Si quieres beneficiarte de esta evolución de la web - que necesita para cambiar a HTTPS.
6. Service Workers y funcionalidades avanzadas
Otra gran mejora de los navegadores, similar en impacto a HTTP/2 (si bien menos conocido), es ServiceWorker. ServiceWorker permite a las aplicaciones web actuar como aplicaciones nativas, les permite trabajar en modo offline, recibir notificaciones push y más. Es un reemplazo mejorado de AppCache y programado bajo los principios del diseño web abierto.
Técnicamente, ServiceWorker funciona como un proxy JavaScript, perfectamente instalado cuando un usuario visita un sitio. Esto es algo muy potente, y puede hacer cosas mucho mas alla de habilitar un modo offline. Si se instala un ServiceWorker malicioso, este puede causar daños graves y persistentes, mucho mayores que la intervencion de las comunicaciones sobre HTTP. Para minimizar este riesgo, ServiceWorker, y todas sus nuevas funcionalidades, sólo se admite a través de HTTPS.
Los navegadores están presionando para conseguir una web más segura y cuenta con que características más potentes, como la geolocalización y de pantalla completa, solo funcionarán sobre HTTPS.
7. Protege tus ingresos (de los proxies)
Los delincuentes no son los únicos que buscan hacer dinero con tu sitio web, los proveedores de Internet y WiFi quieren hacerlo también. Hasta un 38% de los proveedores de WiFi gratuitos, que van desde gigantes como Comcast a los proveedores más pequeños, inyectan sus propios anuncios en las páginas sin cifrar.
Si la publicidad es tu medio de ingresos, debes saber que esos anuncios pueden ser alterados y tus usuarios no se enterarán. Si su sitio web no tiene publicidad tus usuarios puede ser que si estén viendo publicidad al acceder.
Usar HTTPS puede evitar esa manipulación y proteger tus ingresos y tu marca.
8. Mejor analítica: los referers
El objetivo del HTTPS es proteger privacidad, incluyendo el no compartir con los demás lo que estás viendo. Imagínate que accedes a https://secret.com/HelloKitty/ y haces clic en un enlace a la http://other.com/ sin cifrar. Si la solicitud de other.com incluye la URL en la cabecera Referer, cualquiera que esté espiando la conexión (y tambien other.com) sabría de tu amor por la pequeña HelloKitty.
Para evitar este problema, los navegadores no envían la cabecera Referer cuando se navega por HTTPS a HTTP (a menos que se anule explícitamente mediante una Política de Referers). Según los sitios web vayan pasando a HTTPS seguir usando HTTP hará daño a tu vision sobre desde donde vienen tus visitantes.
9. Compatibilidad con el API de iOS 9+/Android 5+
El empujon al TLS no se acaba con los navegadores. En su última conferencia para programadores, Apple anunció que iOS9 requerirá para sus conexiones usar TLS. Extraido de la documentación de iOS9:
“Si estás desarrollando una nueva aplicación, debes utilizar HTTPS. Si ya tienes una aplicación, debes utilizar HTTPS todo lo que puedas y crear un plan para migrar el resto de su aplicación tan pronto como sea posible. Además, la comunicación a través de las API de nivel superior debe ser cifrada usando TLS versión 1.2 con confidencialidad directa. Si se intenta realizar una conexión que no sigue este requisito, se producirá un error."
Android M tendrá requerirá practicamente lo mismo, de lo que podemos entender que este será el comportamiento predeterminado para las apps nativas. Este cambio en los valores predeterminados afecta no sólo a los desarrolladores de aplicaciones nativas, sino a cualquiera que vaya a crear contenido que pueda ser consumido por aplicaciones iOS nativas. Si tu app no soporta HTTPS, costará mas que los desarrolladores de iOS usen tu API.
10. Incluir contenido de terceros
Para mantener el contenido de la página segura, una página HTTPS no puede cargar un recurso HTTP inseguro. Si lo hace, al tener contenido mixto suele mostrar una advertencia, con algunas excepciones como los iframes aislados.
A veces sitios web que intentan cambiar a HTTPS encuentran que muchos de los componentes o contenidos de terceros que utilizan no son compatibles con HTTPS. El resultado es que será necesario que permanecer en HTTP o quitar esos componentes o contenidos. Aunque la mayoría de los sitios web históricamente han optado por quedarse en HTTP, el equilibrio puede cambiar a medida que el interes por la seguridad crezca.
Si publicas contenido de otros sitios pueden incrustar en sus sitios, debes agregar rápidamente soporte para HTTPS ya que te dará una ventaja competitiva hoy en día y pronto no serás capaz de sobrevivir sin ella.
¡Empieza tu plan HTTPS ya mismo!
Este post enumera algunas de las razones para cambiar a HTTPS, pero no las dificultades para hacerlo. Es bastante probable que componentes de terceros no seguros, costes u otras razones heredadas (pero no el rendimiento!) hagan que el cambio sea dificil.
Es importante que entiendas que HTTPS ha venido para quedarse. Cuanto más esperes para hacer el cambio, mas hondo será el agujero en el que te estás metiendo. Ahora se pueden encontrar en el mercado certificados fáciles y gratuitos, CDN, tests de seguridad y otras cosas pueden ayudar a superar algunos de los obstáculos que ya conoces.
Así que empieza ahora: pon el plan en marcha, consigue que te lo aprueben y ponte en el camino hacia la seguridad en la web.
Este post es una traducción libre del post escrito por Guy Podjarny en 10 Reasons To Use HTTPS
De mi cosecha voy a añadir un enlace a una charla en video del Google I/0 de 2014 en el que tratan el tema de las migraciones de webs a HTTPS: HTTPS Everywhere.