Google ya pone fecha para actualizar a HTTPS, julio del 2018

A partir del mes de Julio el navegador Google Chrome mostrará las páginas web que no lleven el protocolo de seguridad SSL, es decir, HTTPS, como NO SEGURAS.

Si tu página web no lo tiene ya activado seguramente te interesará leer el siguiente artículo o también puedes llamarnos a Innova, como empresa experta en desarrollo de páginas web resolveremos todas tus dudas sobre tu página.

Tras un par de años promoviendo el protocolo de seguridad SSL para las páginas web, Google ya ha avisado que desde Julio su navegador Chrome empezará a mostrar el aviso de páginas no seguras “No segura”.

Leer el artículo original del 2016 Google Chrome va a declarar gran parte de las páginas web de internet ‘No seguras’‘.

Teniendo en cuenta que algunas estadísticas muestran que el año pasado el 53% de los usuarios en todo el mundo utilizó el navegador Chrome como navegador (llegando al 64% en España) el no tener el certificado de seguridasd SSL podría acarrear un impacto negativo a algunos sitios web. Aunque también hay que decir que Google ha dado tiempo más que suficiente desde su primer aviso, y el progreso de implantación ha sido bastante importante.

Según el aviso que ha dado Google en su blog de seguridad, así es la advertencia que aparecerá en la barra de dirección de Chrome con el texto de “No seguro” (Not secure).

google-chrome-protocolo-ssl

Aviso de Google Chrome en su Blog de Seguridad

Artículo de referencia de Google en su blog sobre seguridad: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

La solución al problema de páginas No Seguras

Actualizar una página web a HTTPS, es decir, con protocolo de seguridad SSL, es relativamente sencilla, el problema puede llegar en caso de haber páginas de contenido mixto, es decir, una página segura pero con enlaces internos (a CSS, Javascript) con URLs con HTTP (en vez de HTTPS), ya que esto puede en algunos casos generar alguna advertencia.

Cómo indicamos en nuestro artículo anterior donde tratábamos este tema, este tipo de advertencias pueden hacer que algunos usuarios/clientes actuen de forma negativa y dejen de navegar de algunas web, por eso desde Innova aconsejamos a todas las empresas u autónomos con páginas web que empiecen a pensarse en serio su paso al protocolo HTTPS.

Si tienes cualquier duda sobre este tema no dude en ponerse en contacto con nosotros, nuestros técnicos en desarrollo web intentarán responder a todas tus preguntas.

Firefox, al igual que Chrome, avisa cuando una página no es segura

Después de los últimos avisos de Google Chrome sobre su posicionamiento en cuanto a páginas webs con y sin certificados de seguridad SSL, algunos clientes nos han preguntado qué pasa con el resto de navegadores cómo Firefox o Internet Explorer.

Aunque los demás navegadores no lo hayan publicitado tan fuerte cómo Chrome y parece que es algo nuevo, lo cierto es que Firefox también hace algo parecido. Al principio lo único que hacía era indicar (con un candado verde) que estábamos visitando una página web segura, ahora (desde enero del 2017) también informan cuando una web no lo es (Leer el artículo original de Mozilla Firefox informando del cambio y la importancia del protocolo https).

Veamos la forma de funcionar de ambos navegadores:

  • En Firefox, al entrar en una página sin certificado de seguridad SSL (sin HTTPS), tendríamos el icono de información. Si ya entramos en una página donde se nos pide introducir una contraseña, aparecería el candado con la franja roja. En ambos casos, al seleccionar el icono de información (i), nos aparecería el aviso de conexión no segura:

firefox-avisos-web-no-segura

  • Con Chrome pasa algo parecido, solo que en vez del candado aparece el texto de “No es seguro”, y la información cambia un poco.

Sin embargo, cuando entramos en una página web con certificado de seguriad SSL (protocolo HTTPS) esto es lo que tendríamos con ambos navegadores:

firefox-paginas-web-seguras

Aviso de Firefox

chrome-webs-seguras-innova

Aviso de Chrome

 

 

 

 

Como vemos, se trata de algo parecido de lo que tendríamos en la primera opción. Firefox nos muestra un candado verde, y al seleccionar el icono nos muestra el texto de “Conexión segura”. Chrome junto al candado verde ya muestra directamente el texto “Es seguro” y al seleccionar el candado añade una pequeña explicación.

Tras revisar todo esto vemos que ambos navegadores funcionan de manera parecida. El que todavía no hace grandes distinciones entre páginas HTTP y HTTPS es Internet Explorer (por lo menos a la hora de mostrarlo en el navegador).  Aquí cuando navegas por una web con protocolo de seguridad HTTPS, el navegador muestra un candado. Si pinchas en ella te dice que la conexión con esa web está cifrada. En cambio si navegas por una web sin certificado de seguridad no muestra nada y es el usuario quien tiene que darse cuenta de lo que significa eso.

Teniendo en cuenta todo esto nuestra recomendación desde INNOVA sería que si tu sitio web dispone de una página donde se pida alguna contraseña, instales el certificado de seguridad SSL (ya hay gratuítos), si lo que tienes es una tienda online os recomendaríamos instalar un certificado de seguridad incluso de pago (conoce las diferencias entre ambos certificados).  En caso de tener simplemente una página web presencial, ya sería más la impresión que quieras dar cara al público. Eso sí, siempre teniendo en cuenta que Google ya ha avisado de que disponer del protocolo https mejorará los rankins en su motor de búsqueda.

Si tienes cualquiera duda por favor ponte en contacto con nosotros y te ayudaremos en todo lo que podamos.

Let’s Encrypt, certificados SSL libres y gratis, protege tu web con HTTPS

certificados-ssl-gratis-seguridadA finales del año pasado ya anunciábamos en nuestra web que Google Chrome iba a declarar gran parte de las páginas de internet ‘No seguras’. La única forma de que tu página web apareciera como ‘Segura’ era instalar el protocolo de seguridad HTTPS en la web o dominio, algo de lo que hasta hace poco solamente existían las opciones de pago. (Leer el artículo original)

Hasta hace poco disponer de un certificado SSL no resultaba económicamente muy viable para muchas personas, especialmente para aquellas con web personales, blogs o incluso pequeñas pymes que utilizan sus páginas  web más que nada cómo un pequeño escaparate de sus servicios e información de datos de contacto.

Pero para todas estas personas y todo aquel que lo prefiera ya han sacado la opción gratuita, Let’s Encrypt.  Su página oficial es: https://letsencrypt.org/

Let’s Encrypt es una Autoridad Certificadora sin ánimo de lucro que permite generar certificados SSL de forma gratuita. Impulsado por la Fundación Linux, está apoyado por varios grupos de organizaciones como Facebook, Google, Cisco, Automattic (WordPress) etc.. Estos certificados (con los que ya obtienes el protocolo de seguridad HTTPS) son la mejor manera de proteger los datos que navegan entre tu pagina web y el usuario que la visita.

Estos nuevos certificados gratuitos cifran la información de la misma forma que los de pago, pero eso sí, no ofrecen las mismas opciones. Para poder diferenciarlos vamos a explicar primero los tipos de certificados SSL que existen en el mercado.

Una de las cosas que los diferencian es el tipo de validación que ofrecen:

  • Validados por dominio (DV): son los más sencillos, y desde que ha aparecido Let’s Encrypt se obtienen de manera gratuita. Obtienes una página y navegación de datos encriptado y en el navegador se muestra el protocolo https de seguridad con el candado verde.
    ssl-https-seguro
  • Certificados tipo Organización Validada (OV): además de la encriptación de los datos, la empresa certificadora valida también la organización o empresa que lo solicita (por lo que de alguna forma el usuario se asegura de que realmente la web donde navega pertenece a esa empresa y no es un fake). El pero de este certificado es que los navegadores no los diferencian de los certificados DV por lo que a primera vista, la barra de dirección muestra la misma información que los primeros.
  • Certificados tipo Validación Extendida (EV): estos certificados son los que ofrecen un mayor nivel de validación. Cómo en el tipo de validación DV, la empresa certificadora también valida a la empresa pero a diferencia con el anterior aquí el navegador muestra el nombre de la empresa en la barra de dirección en color verde, dando más sensación de seguridad al usuario que la visita.

Otra gran diferencia entre el certificado gratuito y los de pago sería en relación a la cantidad económica asegurada por parte de la entidad que gestiona el certificado. Por ejemplo, imaginemos que tengo una tienda online donde los clientes introducen sus datos bancarios y por alguna razón ha habido algún fallo de seguridad en el intercambio de esos datos.

Si en este caso tuviera algún tipo certificado de seguridad de pago, en función del contrato firmado, la empresa certificadora me cubriría un mínimo de  10.000 $ con el que pagar la posible multa o sanción. Sería cómo un seguro de responsabilidad civil que se ejecutaría en caso de robo de los datos en el intercambio que ha habido entre mi web y el usuario. En caso de tener un certificado gratuito no existiría ninguna cantidad de seguro y tendría que afrontar el total del pago de la multa yo sólo.

Veamos ahora un pequeño resumen de las diferencias entre los distintos certificados.

SSL Let’s Encrypt RapidSSL WildCard True Business ID True Business ID + ED
Método de autentificación Validación de dominio Validación de dominio Validación de dominio Validación  de dominio + la organización Validación de dominio + la organización Extendida
Encriptación 128/256 bits 128/256 bits 128/256 bits 128/256 bits 128/256 bits
Protección subdominios NO NO SI SI SI
Entidad certificadora Let’s Encrypt Equifax Secure Certificate Authority Equifax Secure Certificate Authority Equifax Secure Certificate Authority GeoTrust Primary Certificate Authority
Tiempo de instalación + verificación 1 día 1 día 1-6 días 1-6 días 1-15 días
Garantía de seguro NO SI SI SI SI

Viendo la tabla superior podríamos decir que la principal desventaja de estos certificados SSL gratuitos (Let’s Encrypt) radica en la cantidad asegurada por parte de la entidad certificadora, que en este caso es NULO.

Los demás certificados nos cubrirían entre 10.000 $ y 125.000$ (según el certificado que escojamos), algo que nos vendría muy bien en caso de sufrir algún perjuicio económico por la exposición de los datos. Eso sí tendría que ser demostrable que el fallo de seguridad viene del propio certificado.

Por todo esto, si estáis pensando en instalar un certificado SSL para vuestra página web, nosotros desde INNOVA lo primero que haríamos sería preguntaros si en él intercambiáis información catalogada como importante (métodos de pago, datos personales…) porque en caso afirmativo os recomendaríamos instalar un certificado de pago.

En caso contrario, si únicamente disponéis de una dirección de correo o un formulario donde solamente pedís los datos de contacto, os sugeriríamos probar con el certificado gratuito.

La instalación en sí es sencilla de hacer aunque si ya tienes una página web bien posicionada en internet te sugerimos que contactes con algún técnico especializado que pueda configurar algunas de las opciones a modificar en la página web y en la nueva configuración a proporcionar a Google (con aplicaciones como Webmaster Tools, Google Analytics, google…).