El proyecto Chromium: marcando HTTP como no seguro

Publicado el 16 julio 2018 por José María Acuña Morgado @jmacuna73
HTTPS es importante porque proporciona seguridad crítica e integridad de datos para tus sitios web y para la información personal de tus usuarios. Además, es un requisito para varias funciones del nuevo navegador, en especial las requeridas para el uso de progressive web apps.
Para la ejecución de nuevas y potentes funciones de las plataformas web, como la toma de fotografías o grabación de audio, o la habilitación de experiencias de apps sin conexión con procesos de trabajo de servicio, se requieren permisos explícitos de los usuarios. Además, muchas otras API más antiguas se están actualizando para exigir permiso de ejecución; por ejemplo, la API de ubicación geográfica.
HTTPS es un componente clave de los flujos de trabajo de permisos, tanto para estas funciones nuevas como para las API actualizadas.
Chromium es el proyecto de código abierto de navegador web del que Google Chrome obtiene su código de fuente.
A continuación se muestra la propuesta original para marcar HTTP como no seguro.

Cronología


Enero de 2017 (fase 1)


Entra en vigencia: enero de 2017 (Chrome 56)
Anuncio: avanzar hacia una web más segura (8 de septiembre de 2016)
En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:
  • La página contiene un campo de contraseña.
  • El usuario interactúa con un campo de tarjeta de crédito.


Octubre de 2017 (fase 2)


Entra en vigencia: octubre de 2017 (Chrome 62)
Anuncio: próximos pasos para una mayor seguridad de conexión (27 de abril de 2017)
En esta fase, las páginas HTTP se marcarán con "No seguro" en la barra de navegación (URL) bajo las siguientes condiciones:
  • El usuario está navegando en el modo incógnito de Chrome.
  • La página contiene un campo de contraseña.
  • El usuario interactúa con cualquier campo de entrada.


Julio de 2018 (fase 3)


Entra en vigencia: julio de 2018 (Chrome 68)
Anuncio: una web segura llegó para quedarse (8 de febrero de 2018)
En esta fase, todas las páginas HTTP se marcarán con "No seguro".

Septiembre de 2018


Entra en vigencia: septiembre de 2018 (Chrome 69)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)
En esta fase, las páginas seguras se marcarán de forma más neutral en lugar de afirmativamente seguras.

Octubre de 2018


Entra en vigencia: octubre de 2018 (Chrome 70)
Anuncio: evolución de los indicadores de seguridad de Chrome (17 de mayo de 2018)
En esta fase, las páginas HTTP se marcarán como afirmativamente "No seguro" usando color rojo y el icono no seguro en la barra de direcciones si el usuario interactúa con cualquier campo de entrada.

Previsiones


Todavía no hay una fecha objetivo para el estado final, pero se tiene la intención de marcar todas las páginas HTTP como afirmativamente no seguras a largo plazo (al igual que otras páginas no seguras, como páginas con broken HTTPS).

Preguntas frecuentes


¿Esto inhabilitará los sitios HTTP simples?


No. Los sitios HTTP continuarán funcionando; actualmente no existen planes para bloquearlos en Chrome. Todo lo que cambiará es el (los) indicador (es) de seguridad.

¿Los certificados de seguridad son costosos o difíciles de obtener?


Actualmente, algunos proveedores ofrecen certificados gratuitos o muy baratos. El proyecto Let's Encrypt facilita la obtención de certificados gratuitos (incluso para muchos subdominios a la vez, o con comodines).

¿Los certificados son difíciles de configurar?


Let's Encrypt ha desarrollado un protocolo simple de código abierto para configurar certificados de servidor.
SSLMate actualmente ofrece un servicio similar por una tarifa.
Los servicios como Cloudflare actualmente ofrecen certificados SSL/TLS gratis para los sitios alojados a través de su plataforma, y los proveedores de hosting realizarán procesos de automatización para todos los usuarios una vez que los certificados gratuitos sean comunes.
Para aquellos que no tengan un dominio personalizado, hay varias opciones de alojamiento que admiten HTTPS de forma gratuita, por ejemplo, GitHub Pages, servicios de blog, Google Sites y Google App Engine.
A partir de 2018, muchos proveedores de alojamiento incluso admiten activar HTTPS con una sola casilla de verificación.

¿SSL/TLS es lento?


No necesariamente. Una vez que habilite y optimice su pila TLS, también estará en camino de implementar HTTP/2.
A diferencia de HTTP/1.1, HTTP/2 requiere solo una conexión por origen, lo que significa menos sockets, búferes de memoria, handshakes de TLS, y más.
Más información: https://istlsfastyet.com/
Consulte también las preguntas frecuentes acerca del protocolo HTTPS en el blog de Mozilla:
Deprecating Non-Secure HTTP - Frequently Asked Questions
Jose Maria Acuña Morgado - Desarrollador Web