Firefox, al igual que Chrome, avisa cuando una página no es segura

Después de los últimos avisos de Google Chrome sobre su posicionamiento en cuanto a páginas webs con y sin certificados de seguridad SSL, algunos clientes nos han preguntado qué pasa con el resto de navegadores cómo Firefox o Internet Explorer.

Aunque los demás navegadores no lo hayan publicitado tan fuerte cómo Chrome y parece que es algo nuevo, lo cierto es que Firefox también hace algo parecido. Al principio lo único que hacía era indicar (con un candado verde) que estábamos visitando una página web segura, ahora (desde enero del 2017) también informan cuando una web no lo es (Leer el artículo original de Mozilla Firefox informando del cambio y la importancia del protocolo https).

Veamos la forma de funcionar de ambos navegadores:

  • En Firefox, al entrar en una página sin certificado de seguridad SSL (sin HTTPS), tendríamos el icono de información. Si ya entramos en una página donde se nos pide introducir una contraseña, aparecería el candado con la franja roja. En ambos casos, al seleccionar el icono de información (i), nos aparecería el aviso de conexión no segura:

firefox-avisos-web-no-segura

  • Con Chrome pasa algo parecido, solo que en vez del candado aparece el texto de “No es seguro”, y la información cambia un poco.

Sin embargo, cuando entramos en una página web con certificado de seguriad SSL (protocolo HTTPS) esto es lo que tendríamos con ambos navegadores:

firefox-paginas-web-seguras

Aviso de Firefox

chrome-webs-seguras-innova

Aviso de Chrome

 

 

 

 

Como vemos, se trata de algo parecido de lo que tendríamos en la primera opción. Firefox nos muestra un candado verde, y al seleccionar el icono nos muestra el texto de “Conexión segura”. Chrome junto al candado verde ya muestra directamente el texto “Es seguro” y al seleccionar el candado añade una pequeña explicación.

Tras revisar todo esto vemos que ambos navegadores funcionan de manera parecida. El que todavía no hace grandes distinciones entre páginas HTTP y HTTPS es Internet Explorer (por lo menos a la hora de mostrarlo en el navegador).  Aquí cuando navegas por una web con protocolo de seguridad HTTPS, el navegador muestra un candado. Si pinchas en ella te dice que la conexión con esa web está cifrada. En cambio si navegas por una web sin certificado de seguridad no muestra nada y es el usuario quien tiene que darse cuenta de lo que significa eso.

Teniendo en cuenta todo esto nuestra recomendación desde INNOVA sería que si tu sitio web dispone de una página donde se pida alguna contraseña, instales el certificado de seguridad SSL (ya hay gratuítos), si lo que tienes es una tienda online os recomendaríamos instalar un certificado de seguridad incluso de pago (conoce las diferencias entre ambos certificados).  En caso de tener simplemente una página web presencial, ya sería más la impresión que quieras dar cara al público. Eso sí, siempre teniendo en cuenta que Google ya ha avisado de que disponer del protocolo https mejorará los rankins en su motor de búsqueda.

Si tienes cualquiera duda por favor ponte en contacto con nosotros y te ayudaremos en todo lo que podamos.

Let’s Encrypt, certificados SSL libres y gratis, protege tu web con HTTPS

certificados-ssl-gratis-seguridadA finales del año pasado ya anunciábamos en nuestra web que Google Chrome iba a declarar gran parte de las páginas de internet ‘No seguras’. La única forma de que tu página web apareciera como ‘Segura’ era instalar el protocolo de seguridad HTTPS en la web o dominio, algo de lo que hasta hace poco solamente existían las opciones de pago. (Leer el artículo original)

Hasta hace poco disponer de un certificado SSL no resultaba económicamente muy viable para muchas personas, especialmente para aquellas con web personales, blogs o incluso pequeñas pymes que utilizan sus páginas  web más que nada cómo un pequeño escaparate de sus servicios e información de datos de contacto.

Pero para todas estas personas y todo aquel que lo prefiera ya han sacado la opción gratuita, Let’s Encrypt.  Su página oficial es: https://letsencrypt.org/

Let’s Encrypt es una Autoridad Certificadora sin ánimo de lucro que permite generar certificados SSL de forma gratuita. Impulsado por la Fundación Linux, está apoyado por varios grupos de organizaciones como Facebook, Google, Cisco, Automattic (WordPress) etc.. Estos certificados (con los que ya obtienes el protocolo de seguridad HTTPS) son la mejor manera de proteger los datos que navegan entre tu pagina web y el usuario que la visita.

Estos nuevos certificados gratuitos cifran la información de la misma forma que los de pago, pero eso sí, no ofrecen las mismas opciones. Para poder diferenciarlos vamos a explicar primero los tipos de certificados SSL que existen en el mercado.

Una de las cosas que los diferencian es el tipo de validación que ofrecen:

  • Validados por dominio (DV): son los más sencillos, y desde que ha aparecido Let’s Encrypt se obtienen de manera gratuita. Obtienes una página y navegación de datos encriptado y en el navegador se muestra el protocolo https de seguridad con el candado verde.
    ssl-https-seguro
  • Certificados tipo Organización Validada (OV): además de la encriptación de los datos, la empresa certificadora valida también la organización o empresa que lo solicita (por lo que de alguna forma el usuario se asegura de que realmente la web donde navega pertenece a esa empresa y no es un fake). El pero de este certificado es que los navegadores no los diferencian de los certificados DV por lo que a primera vista, la barra de dirección muestra la misma información que los primeros.
  • Certificados tipo Validación Extendida (EV): estos certificados son los que ofrecen un mayor nivel de validación. Cómo en el tipo de validación DV, la empresa certificadora también valida a la empresa pero a diferencia con el anterior aquí el navegador muestra el nombre de la empresa en la barra de dirección en color verde, dando más sensación de seguridad al usuario que la visita.

Otra gran diferencia entre el certificado gratuito y los de pago sería en relación a la cantidad económica asegurada por parte de la entidad que gestiona el certificado. Por ejemplo, imaginemos que tengo una tienda online donde los clientes introducen sus datos bancarios y por alguna razón ha habido algún fallo de seguridad en el intercambio de esos datos.

Si en este caso tuviera algún tipo certificado de seguridad de pago, en función del contrato firmado, la empresa certificadora me cubriría un mínimo de  10.000 $ con el que pagar la posible multa o sanción. Sería cómo un seguro de responsabilidad civil que se ejecutaría en caso de robo de los datos en el intercambio que ha habido entre mi web y el usuario. En caso de tener un certificado gratuito no existiría ninguna cantidad de seguro y tendría que afrontar el total del pago de la multa yo sólo.

Veamos ahora un pequeño resumen de las diferencias entre los distintos certificados.

SSL Let’s Encrypt RapidSSL WildCard True Business ID True Business ID + ED
Método de autentificación Validación de dominio Validación de dominio Validación de dominio Validación  de dominio + la organización Validación de dominio + la organización Extendida
Encriptación 128/256 bits 128/256 bits 128/256 bits 128/256 bits 128/256 bits
Protección subdominios NO NO SI SI SI
Entidad certificadora Let’s Encrypt Equifax Secure Certificate Authority Equifax Secure Certificate Authority Equifax Secure Certificate Authority GeoTrust Primary Certificate Authority
Tiempo de instalación + verificación 1 día 1 día 1-6 días 1-6 días 1-15 días
Garantía de seguro NO SI SI SI SI

Viendo la tabla superior podríamos decir que la principal desventaja de estos certificados SSL gratuitos (Let’s Encrypt) radica en la cantidad asegurada por parte de la entidad certificadora, que en este caso es NULO.

Los demás certificados nos cubrirían entre 10.000 $ y 125.000$ (según el certificado que escojamos), algo que nos vendría muy bien en caso de sufrir algún perjuicio económico por la exposición de los datos. Eso sí tendría que ser demostrable que el fallo de seguridad viene del propio certificado.

Por todo esto, si estáis pensando en instalar un certificado SSL para vuestra página web, nosotros desde INNOVA lo primero que haríamos sería preguntaros si en él intercambiáis información catalogada como importante (métodos de pago, datos personales…) porque en caso afirmativo os recomendaríamos instalar un certificado de pago.

En caso contrario, si únicamente disponéis de una dirección de correo o un formulario donde solamente pedís los datos de contacto, os sugeriríamos probar con el certificado gratuito.

La instalación en sí es sencilla de hacer aunque si ya tienes una página web bien posicionada en internet te sugerimos que contactes con algún técnico especializado que pueda configurar algunas de las opciones a modificar en la página web y en la nueva configuración a proporcionar a Google (con aplicaciones como Webmaster Tools, Google Analytics, google…).

Google Chrome va a declarar gran parte de las páginas web de internet ‘No seguras’

En septiembre Google avisó en su blog que a partir del año 2017 su navegador Chrome empezaría a etiquetar como no seguras algunas páginas que no utilizasen el protocolo HTTPS (el artículo original).

Muchas de las páginas web que visitamos asiduamente utilizan únicamente el protocolo HTTP, digamos que el sistema que utilizan los navegadores para comunicarse con los servidores web y de esta forma lo que nos permite a nosotros ver las páginas web. Funciona pero tiene sus lagunas de seguridad ya que todos los datos que se transmiten van sin cifrado, por lo que cualquiera que consiga conectarse a nuestro wifi podría por ejemplo conocer los datos que recibe el ordenador (contraseñas del correo, los datos que se introducen al acceder a la cuenta del banco, formularios, etc.).

Para evitar todo este tipo de fallos de seguridad existe el protocolo HTTPS, dónde todos los datos que circulan entre el ordenador y el navegador van cifrados.

Quizás ya te has dado cuenta de que las webs con los que se trasmite algún tipo de dato (sobre todo tiendas online, bancos, etc.) utilizan este protocolo (o por lo menos deberían), pero ahora Chrome quiere ir más lejos y su objetivo es que con el tiempo todas las páginas web vayan incorporando el HTTPS. Y cómo piensa hacerlo, pues mostrando las páginas que no lo lleven cómo No Seguras.

Hasta ahora se conformaba con incluir un icono de información neutral al lado de la dirección de las páginas web que visitábamos. Pero ahora piensa ir más lejos. El primer paso será en enero de 2017, cuando etiquetará como no seguras las páginas web que tengan acceso de usuarios (redes sociales, foros, tiendas online, bancos) y que no utilicen HTTPS.  Es decir, en vez del icono de información actual, aparecerá un icono de un triángulo de prohibición en rojo y el texto ‘NO SEGURO’.

chrome-protocolo-http

Ejemplo del aviso de Chrome para páginas sin HTTPS

Y ya ha anunciado que más adelante irán ampliando dichos anuncios, por ejemplo marcando páginas HTTP como “no seguras”  cuando el usuario haya elegido navegar en modo incógnito. Eventualmente, planean etiquetar todas aquellas páginas web que no lleven protocolo HTTPS como NO SEGURAS. Según Google, su objetivo es avanzar hacia una red más segura dónde TODAS las páginas lleven el protocolo de seguridad HTTPS.

Lógicamente en el futuro esto afectará a muchas webs, ya que aunque no se traten de páginas que incluyan ni accesos de entrada, ni tienda online,  muchos usuarios al ver este aviso al lado de la dirección de la web, quizás duden y se planteen si seguir navegando o no por esa web.

Si tu página web incluye una tienda online ya deberías estar incluyendo el protocolo HTTPS en tu web (si no es así, ¡ya estás tardando!) y si tienes un blog, o incluso una web corporativa donde tanto clientes como tus trabajadores inician sesión en ella (se logean), y no quieres ver el texto ‘No Seguro’, tienes hasta el mes de enero para incluir el protocolo. Por supuesto no es obligatorio, pero deberás elegir si dejarlo tal cual y que todos los usuarios y posibles clientes que utilicen Chrome vean el aviso en rojo de ‘No Seguro’ cada vez que naveguen por tú web o incorporar/contratar un certificado SSL para activar el protocolo de seguridad HTTPS  (porque sí, esto también hay que pagarlo).

Si tienes alguna duda sobre los pasos a dar para implementar el protocolo o si tienes alguna duda sobre si te interesa añadirlo o no, ponerte en contacto con nosotros y te asesoraremos en todo lo que podamos.

Aviso: desde que publicamos este artículo ya ha salido al mercado un certificado SSL libre y gratutito llamado Let’s Encrypt. Puedes informarte de esto en nuestro siguiente artículo

Let’s Encrypt, certificados SSL libres y gratis, protege tu web con HTTPS