A partir de la versión 56 de Chrome las páginas que soliciten contraseñas y tarjetas de crédito bajo el protocolo HTTP se mostrarán con una advertencia de No seguro en la barra de direcciones.
Esta nueva funcionalidad del navegador se viene anunciando desde el pasado mes de setiembre y estará disponible para todos los usuarios por defecto en el próximo mes (Enero de 2017). Actualmente ya se puede descargar la versión 56 beta para Windows, Linux, Mac y Android.
"not secure" warning: now in Chrome 56 beta! you'll still need to flip the flag (not default for 100%) https://t.co/BSc5i1NhUO cc @estark37
— emily schechter (@emschec) 9 de diciembre de 2016
¿Cómo aparecerán los sitios No seguros?
En la imagen anterior podemos ver la web de un e-commerce solicitando un usuario y contraseña de forma insegura bajo el protocolo HTTP.
Al hacerlo de esta forma la información viaja de forma insegura entre el navegador del cliente y los servidores de la web. Un atacante que se encuentre en su misma Red podría interceptar el tráfico para robar contraseñas e información (algo conocido como man-in-the-middle), incluso manipular completamente la web que ven los clientes en ese momento.
Estos ataques son sencillos de realizar y bastante habituales en las redes wifi compartidas como las de un hotel, café o aeropuerto. Por esta razón desde el equipo de seguridad de Chrome buscan advertir a los usuarios antes de ingresar información sensible como contraseñas y tarjetas de crédito.
¿Y cómo se mostraría un sitio Seguro que utiliza HTTPs?
Veamos el ejemplo con Stackoverflow, un sitio muy conocido por desarrolladores y webmasters:
Chrome 56 muestra la etiqueta Seguro de color verde cuando el sitio cifra la conexión bajo HTTPs, no sólo en las páginas de login sino también en todas las páginas del sitio.
Esto ocurre con los certificados comunes y corrientes o de verificación Standard, para el caso de los EV SSL (Extended Validation o Validación Extendida) que ya tienen su propia barra de color verde, el mensaje no aparece:
Aunque un sitio cuente con certificados si una de sus páginas solicita datos de forma insegura la advertencia de No seguro aparecerá, en el caso de los EV SSL también se pierde la barra verde con el nombre de la empresa cuando algunos recursos se cargan sobre HTTP (un error conocido como Mixed Content).
Hoy en día migrar hacia HTTPs y tener tu propio certificado SSL es más sencillo y económico que nunca gracias a los certificados gratuitos que ofrece Let’s Encrypt, una CA (certificate authority) que cuenta con el apoyo de grandes empresas como Google, Facebook, Mozilla, Akamai, entre otras.
Ver también: Migración segura a nivel SEO de HTTP hacia HTTPS.
Activar la etiqueta en Chrome 56 beta
Puedes descargar la versión beta desde aquí: google.com/chrome/browser/beta.html
Para activar esta función debes escribir en la barra de direcciones chrome://flags/#mark-non-secure-as y bajo el menú Marcar un origen no seguro como «no seguro» seleccionar una de las opciones como en la siguiente captura:
Se debe tener en cuenta que la versión Estable que se lanzará el próximo mes vendrá con esta opción habilitada por defecto, lo cual podría tener un impacto negativo en muchos sitios que solicitan información de forma insegura.
Por último, comentar que no sólo Chrome mostrará este tipo de advertencias para proteger a los usuarios. Otros navegadores como Firefox también lo harán, el siguiente es un tweet de un miembro del equipo de diseño de Mozilla donde se puede ver una advertencia parecida a la de Chrome en un formulario inseguro:
Coming soon to Firefox. We’ll let you know when you go to type your password into an insecure (HTTP) page or form. pic.twitter.com/kvu9DIZrUm
— Ryan Feeley (@ryanfeeley) 23 de noviembre de 2016
¿Y tú vas a dejar que tu sitio se muestre como Seguro o No seguro?