A partir del mes de Julio el navegador Google Chrome mostrará las páginas web que no lleven el protocolo de seguridad SSL, es decir, HTTPS, como NO SEGURAS.
Si tu página web no lo tiene ya activado seguramente te interesará leer el siguiente artículo o también puedes llamarnos a Innova, como empresa experta en desarrollo de páginas web resolveremos todas tus dudas sobre tu página.
Tras un par de años promoviendo el protocolo de seguridad SSL para las páginas web, Google ya ha avisado que desde Julio su navegador Chrome empezará a mostrar el aviso de páginas no seguras «No segura».
Teniendo en cuenta que algunas estadísticas muestran que el año pasado el 53% de los usuarios en todo el mundo utilizó el navegador Chrome como navegador (llegando al 64% en España) el no tener el certificado de seguridasd SSL podría acarrear un impacto negativo a algunos sitios web. Aunque también hay que decir que Google ha dado tiempo más que suficiente desde su primer aviso, y el progreso de implantación ha sido bastante importante.
Según el aviso que ha dado Google en su blog de seguridad, así es la advertencia que aparecerá en la barra de dirección de Chrome con el texto de «No seguro» (Not secure).
Actualizar una página web a HTTPS, es decir, con protocolo de seguridad SSL, es relativamente sencilla, el problema puede llegar en caso de haber páginas de contenido mixto, es decir, una página segura pero con enlaces internos (a CSS, Javascript) con URLs con HTTP (en vez de HTTPS), ya que esto puede en algunos casos generar alguna advertencia.
Cómo indicamos en nuestro artículo anterior donde tratábamos este tema, este tipo de advertencias pueden hacer que algunos usuarios/clientes actuen de forma negativa y dejen de navegar de algunas web, por eso desde Innova aconsejamos a todas las empresas u autónomos con páginas web que empiecen a pensarse en serio su paso al protocolo HTTPS.
Si tienes cualquier duda sobre este tema no dude en ponerse en contacto con nosotros, nuestros técnicos en desarrollo web intentarán responder a todas tus preguntas.
Después de los últimos avisos de Google Chrome sobre su posicionamiento en cuanto a páginas webs con y sin certificados de seguridad SSL, algunos clientes nos han preguntado qué pasa con el resto de navegadores cómo Firefox o Internet Explorer.
Aunque los demás navegadores no lo hayan publicitado tan fuerte cómo Chrome y parece que es algo nuevo, lo cierto es que Firefox también hace algo parecido. Al principio lo único que hacía era indicar (con un candado verde) que estábamos visitando una página web segura, ahora (desde enero del 2017) también informan cuando una web no lo es (Leer el artículo original de Mozilla Firefox informando del cambio y la importancia del protocolo https).
Veamos la forma de funcionar de ambos navegadores:
A finales del año pasado ya anunciábamos en nuestra web que Google Chrome iba a declarar gran parte de las páginas de internet ‘No seguras’. La única forma de que tu página web apareciera como ‘Segura’ era instalar el protocolo de seguridad HTTPS en la web o dominio, algo de lo que hasta hace poco solamente existían las opciones de pago. (Leer el artículo original)
Hasta hace poco disponer de un certificado SSL no resultaba económicamente muy viable para muchas personas, especialmente para aquellas con web personales, blogs o incluso pequeñas pymes que utilizan sus páginas web más que nada cómo un pequeño escaparate de sus servicios e información de datos de contacto.
Pero para todas estas personas y todo aquel que lo prefiera ya han sacado la opción gratuita, Let’s Encrypt. Su página oficial es: https://letsencrypt.org/
Let’s Encrypt es una Autoridad Certificadora sin ánimo de lucro que permite generar certificados SSL de forma gratuita. Impulsado por la Fundación Linux, está apoyado por varios grupos de organizaciones como Facebook, Google, Cisco, Automattic (WordPress) etc.. Estos certificados (con los que ya obtienes el protocolo de seguridad HTTPS) son la mejor manera de proteger los datos que navegan entre tu pagina web y el usuario que la visita.
Estos nuevos certificados gratuitos cifran la información de la misma forma que los de pago, pero eso sí, no ofrecen las mismas opciones. Para poder diferenciarlos vamos a explicar primero los tipos de certificados SSL que existen en el mercado.
Una de las cosas que los diferencian es el tipo de validación que ofrecen:
Validados por dominio (DV): son los más sencillos, y desde que ha aparecido Let’s Encrypt se obtienen de manera gratuita. Obtienes una página y navegación de datos encriptado y en el navegador se muestra el protocolo https de seguridad con el candado verde.
Certificados tipo Organización Validada (OV): además de la encriptación de los datos, la empresa certificadora valida también la organización o empresa que lo solicita (por lo que de alguna forma el usuario se asegura de que realmente la web donde navega pertenece a esa empresa y no es un fake). El pero de este certificado es que los navegadores no los diferencian de los certificados DV por lo que a primera vista, la barra de dirección muestra la misma información que los primeros.
Certificados tipo Validación Extendida (EV): estos certificados son los que ofrecen un mayor nivel de validación. Cómo en el tipo de validación DV, la empresa certificadora también valida a la empresa pero a diferencia con el anterior aquí el navegador muestra el nombre de la empresa en la barra de dirección en color verde, dando más sensación de seguridad al usuario que la visita.
Otra gran diferencia entre el certificado gratuito y los de pago sería en relación a la cantidad económica asegurada por parte de la entidad que gestiona el certificado. Por ejemplo, imaginemos que tengo una tienda online donde los clientes introducen sus datos bancarios y por alguna razón ha habido algún fallo de seguridad en el intercambio de esos datos.
Si en este caso tuviera algún tipo certificado de seguridad de pago, en función del contrato firmado, la empresa certificadora me cubriría un mínimo de 10.000 $ con el que pagar la posible multa o sanción. Sería cómo un seguro de responsabilidad civil que se ejecutaría en caso de robo de los datos en el intercambio que ha habido entre mi web y el usuario. En caso de tener un certificado gratuito no existiría ninguna cantidad de seguro y tendría que afrontar el total del pago de la multa yo sólo.
Veamos ahora un pequeño resumen de las diferencias entre los distintos certificados.
SSL
Let’s Encrypt
RapidSSL
WildCard
True Business ID
True Business ID + ED
Método de autentificación
Validación de dominio
Validación de dominio
Validación de dominio
Validación de dominio + la organización
Validación de dominio + la organización Extendida
Encriptación
128/256 bits
128/256 bits
128/256 bits
128/256 bits
128/256 bits
Protección subdominios
NO
NO
SI
SI
SI
Entidad certificadora
Let’s Encrypt
Equifax Secure Certificate Authority
Equifax Secure Certificate Authority
Equifax Secure Certificate Authority
GeoTrust Primary Certificate Authority
Tiempo de instalación + verificación
1 día
1 día
1-6 días
1-6 días
1-15 días
Garantía de seguro
NO
SI
SI
SI
SI
Viendo la tabla superior podríamos decir que la principal desventaja de estos certificados SSL gratuitos (Let’s Encrypt) radica en la cantidad asegurada por parte de la entidad certificadora, que en este caso es NULO.
Los demás certificados nos cubrirían entre 10.000 $ y 125.000$ (según el certificado que escojamos), algo que nos vendría muy bien en caso de sufrir algún perjuicio económico por la exposición de los datos. Eso sí tendría que ser demostrable que el fallo de seguridad viene del propio certificado.
Por todo esto, si estáis pensando en instalar un certificado SSL para vuestra página web, nosotros desde INNOVA lo primero que haríamos sería preguntaros si en él intercambiáis información catalogada como importante (métodos de pago, datos personales…) porque en caso afirmativo os recomendaríamos instalar un certificado de pago.
En caso contrario, si únicamente disponéis de una dirección de correo o un formulario donde solamente pedís los datos de contacto, os sugeriríamos probar con el certificado gratuito.
La instalación en sí es sencilla de hacer aunque si ya tienes una página web bien posicionada en internet te sugerimos que contactes con algún técnico especializado que pueda configurar algunas de las opciones a modificar en la página web y en la nueva configuración a proporcionar a Google (con aplicaciones como Webmaster Tools, Google Analytics, google…).